TRA

Schema di ACCORDO DI COLLABORAZIONE PER LO SVOLGIMENTO DELLA FUNZIONE DI CONSERVAZIONE DEI DOCUMENTI INFORMATICI

TRA

1 – La Provincia di Pistoia, in persona del Dirigente Dott. Agr. Xxxxxx Xxxxxxxx, domiciliato per la carica presso Xxxxxx Xxx xxxxx, 0 xx Xxxxxxx (xx seguito anche denominato “Ente produttore”) il quale interviene nel presente atto in forza della Determinazione n.    del        , con cui si è approvato il presente Accordo di collaborazione;

e

2 – L’Istituto per i Beni Artistici, Culturali e Naturali della Regione Xxxxxx-Romagna (di seguito anche denominato più brevemente “IBACN”), in persona del Responsabile del Servizio Polo Archivistico Regionale xxx. Xxxxx Xxxxxxxxx, domiciliato per la sua carica in Bologna, Xxxxx Xxxx Xxxx 00, il quale interviene nel presente atto in forza della Deliberazione del Consiglio Direttivo n. … del 28 gennaio 2019, esecutiva ai sensi di legge,

PREMESSO CHE

• la legge regionale dell’Xxxxxx-Romagna n. 11/2004 e s.m.i. (recante “Sviluppo regionale della società dell’informazione”) ha stabilito all’art. 2, comma 4bis, che: “La Regione, anche in collaborazione con le altre pubbliche amministrazioni interessate, favorisce altresì lo sviluppo integrato della conservazione digitale dei documenti informatici e, nel rispetto dei principi di efficacia, efficienza ed economicità, svolge le funzioni di archiviazione e conservazione digitale dei documenti informatici secondo quanto disposto dall’articolo 2, comma 1, lettera f bis) della legge regionale 10 aprile 1995, n. 29 (Riordinamento dell'Istituto dei beni artistici, culturali e naturali della Regione Xxxxxx-Romagna);

• ai sensi della legge regionale dell’Xxxxxx-Romagna n. 29/1995, cosi come modificata per ultima dalla legge regionale n. 17/2013, l’IBACN svolge la funzione di “archiviazione e conservazione digitale dei documenti informatici

anche a rilevanza fiscale, con le modalità previste dalle disposizioni vigenti, prodotti o ricevuti dalla Regione e dagli altri soggetti di cui all'articolo 19, comma 5, lettera a) della legge regionale 24 maggio 2004, n. 11 nonché, mediante apposita convenzione, dei documenti informatici prodotti o ricevuti dai soggetti di cui all'articolo 19, comma 5, lettera b) della medesima legge e da altri soggetti pubblici”;

• la Regione Xxxxxx-Romagna, con delibera di Giunta n. 877 del 22 giugno 2009 ha attivato il Polo Archivistico Regionale – Xxxxxx-Romagna presso l'IBACN e ha autorizzato l'IBACN a costituire il Servizio Polo Archivistico Regionale della Regione Xxxxxx-Romagna (d’ora in poi ParER) con la responsabilità dello svolgimento dei processi di conservazione sostitutiva e di riversamento sostitutivo dei documenti informatici della Regione e degli altri Enti convenzionati e il compito di promuovere l'adesione degli Enti del sistema regionale al Polo archivistico regionale e di supportare l'azione dei responsabili del protocollo informatico presso gli Enti produttori per la messa a punto degli strumenti archivistici, organizzativi e software per le esigenze di produzione e conservazione dei documenti digitali, anche per l'adeguamento al sistema di conservazione digitale;

• la conservazione dei documenti e degli archivi nella loro organicità rappresenta una funzione di carattere istituzionale e un obbligo ai sensi dell’articolo 30 del Decreto Legislativo 22 gennaio 2004, n. 42 e s.m.i., recante il “Codice dei beni culturali e del paesaggio;

• ai sensi dell’art. 43 del Codice dell’Amministrazione Digitale: “I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, […] sono conservati in modo permanente con modalità digitali […]”;

• ai sensi del precedente art. 34 del Codice dell’Amministrazione Digitale, comma 1-bis. “Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all'interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l'AgID”;

• l’IBACN, come da nota dell’Agenzia per l’Italia Digitale del 23 dicembre 2014 prot. n. 12389, acquisita dal IBACN con prot. IB/2014/4667, in data 22 dicembre 2014 è stato accreditato, come soggetto pubblico che svolge attività di conservazione dei documenti informatici ed iscritto nell’elenco dei conservatori accreditati pubblicato sul sito dell’Agenzia per l’Italia Digitale;

• l’attività svolta da IBACN tramite ParER è ai fini di archiviazione nel pubblico interesse oltre che di accesso a documenti amministrativi e accesso civico e come tale si considera rilevante l’interesse pubblico relativo ai trattamenti effettuati secondo quanto stabilito dal comma 2 dell’art.2 del D.Lgs. 10 agosto 2018, n. 101 di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;

• Il Piano Triennale per l’informatica 2017-2019 approvato con DPCM 31 maggio 2017 prevede al punto 12.9 che le amministrazioni procedono alla conservazione a norma per i propri documenti informatici (nativi digitali o documenti analogici digitalizzati) e fascicoli informatici, tramite anche accordi di collaborazione tra amministrazioni per la condivisione di infrastrutture comuni dedicate alla conservazione o adesione ai servizi offerti da poli di conservazione;

• la legge 7 agosto 1990, n. 241 e s.m.i. recante “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi” stabilisce espressamente all’art. 15 che: “Anche al di fuori delle ipotesi previste dall’articolo 14, le amministrazioni pubbliche possono sempre concludere tra loro accordi per disciplinare lo svolgimento in collaborazione di attività di interesse comune”;

• la determinazione dell’Autorità per la Vigilanza sui Contratti Pubblici di Lavori, Servizi e Forniture n. 7 del 21 Ottobre 2010 su “Questioni interpretative concernenti la disciplina dell’articolo 34 del d.lgs. 163/2006 relativa ai soggetti a cui possono essere affidati i contratti pubblici”, conformemente a quanto in precedenza affermato dalla giurisprudenza comunitaria, ha ribadito la legittimità del ricorso a forme di cooperazione pubblico-pubblico attraverso cui più amministrazioni assumono impegni reciproci, realizzando congiuntamente le

finalità istituzionali affidate loro, purché vengano rispettati una serie di presupposti;

• i presupposti richiesti ai fini della legittimità dell’impiego dello strumento convenzionale sono stati individuati nei seguenti punti: A) l’accordo deve regolare la realizzazione di un interesse pubblico, effettivamente comune ai partecipanti, che le Parti hanno l’obbligo di perseguire come compito principale, da valutarsi alla luce delle finalità istituzionali degli Enti coinvolti; B) alla base dell’accordo deve esserci una reale divisione di compiti e responsabilità; C) i movimenti finanziari tra i soggetti che sottoscrivono l’accordo devono configurarsi solo come ristoro delle spese sostenute, essendo escluso il pagamento di un vero e proprio corrispettivo, comprensivo di un margine di guadagno; D) il ricorso all’accordo non può interferire con il perseguimento dell’obiettivo principale delle norme comunitarie in tema di appalti pubblici, ossia la libera circolazione dei servizi e l’apertura alla concorrenza non falsata negli Stati membri;

• alla luce della progressiva digitalizzazione dell’attività amministrativa vi è interesse ad assicurare alle pubbliche amministrazioni sistemi sicuri e giuridicamente validi per conservare documenti digitali, nonché supporto tecnico archivistico di varia natura per la gestione dei documenti informatici;

• in tale contesto, l’articolo 14 del Codice dell’Amministrazione Digitale è improntato a logiche di collaborazione e cooperazione attiva tra le Amministrazioni statali, regionali e locali per promuovere azioni utili al fine di realizzare un processo di digitalizzazione dell’azione amministrativa coordinato e condiviso, favorendo il trasferimento delle soluzioni tecniche e organizzative e l’adozione di infrastrutture e standard che riducano i costi sostenuti dalle Amministrazioni stesse e migliorino i servizi erogati;

• la necessità di dare sostegno all’identificazione, all’evoluzione e alla diffusione delle buone pratiche sviluppate, facendo leva su reti e meccanismi di collaborazione consolidati tra Enti, rappresenta oggi un’importante opportunità per capitalizzare gli sforzi passati e agevolare l’avvio di processi di sviluppo e innovazione nell’alveo della Programmazione comunitaria 2014-2020;

• l’Agenzia per la Coesione Territoriale il 20 aprile 2017 ha pubblicato un Avviso per il finanziamento di interventi volti al trasferimento, all’evoluzione e alla diffusione di buone pratiche attraverso Open Community PA 2020, nell’ambito del Programma PON Governance e Capacità Istituzionale 2014-2020 – Asse 3 – Obiettivo Specifico 3.1 – Azione 3.1.1

• Il Programma finanzia interventi per la modernizzazione del sistema amministrativo con riferimento agli aspetti gestionali, organizzativi, di semplificazione e digitalizzazione di processi e servizi verso cittadini e imprese (e-government) e rafforzando la trasparenza e la partecipazione civica attraverso lo sviluppo e la diffusione dei dati pubblici (open government);

• il Programma intende attuare azioni a supporto dei processi di costruzione di reti di cooperazione e dei meccanismi di scambio tra Pubbliche Amministrazioni, con l’obiettivo di individuare, implementare e diffondere soluzioni e buone pratiche amministrative tra le più innovative realizzate nel Paese, anche attraverso il contributo delle risorse comunitarie;

• la Provincia Autonoma di Trento, l’IBACN, la Regione Xxxxxx-Romagna, la Regione Puglia, la Regione Valle d’Aosta e il Comune di Padova hanno costituito un Accordo di Partenariato ai sensi dell’avviso dell’Agenzia della Coesione Territoriale, avente come Ente Capofila la Provincia Autonoma di Trento, come Enti Cedenti l’IBACN e la Regione Xxxxxx-Romagna, come Enti Riusanti il Comune di Padova, la Regione Puglia e la Regione Valle d’Aosta al fine di presentare la propria candidatura al Programma;

• il 6 giugno 2017 il Partenariato ha candidato al Programma il Progetto denominato “Ricordi” (RIuso della COnservazione dei Record DIgitali), avente come obiettivo quello di “diffondere e trasferire la Buona Pratica sviluppata dalla Regione Xxxxxx-Romagna in tema di conservazione digitale dei documenti informatici, precondizione necessaria per sviluppare servizi digitali della PA, tramite la costruzione di un polo di conservazione servente più enti, inserito in una rete di poli di conservazione a livello nazionale secondo il modello del Piano Triennale AgID 2017-2019; tale idea deriva dalla valutazione che il complesso delle attività da svolgere, i sistemi informatici da sviluppare, i requisiti giuridici

da soddisfare e le competenze professionali necessarie per la corretta conservazione degli archivi informatici non siano alla portata della maggior parte delle pubbliche amministrazioni locali, richiedendo risorse troppo elevate per ogni singola organizzazione;

• il Progetto è stato approvato dall’Agenzia della Coesione Territoriale come terzo in graduatoria su 74 progetti presentati, con il punteggio di 90,25/100

• il Progetto è articolato su diversi scenari, ognuno dei quali ha lo scopo di sviluppare una specifica modalità operativa per il riuso della Buona Pratica; in particolare lo scenario 6 si propone di sviluppare le metodologie e gli strumenti che una Pubblica Amministrazione deve adottare per svolgere con efficacia il ruolo di Ente Produttore nell’ambito del processo di Conservazione dei documenti digitali in cui l’IBACN svolge il ruolo di Ente Conservatore.

• il Consiglio Direttivo dell’Istituto IBACN ha stabilito, con propria deliberazione

n. 11 del 3 aprile 2019, di qualificare l’Istituto presso AgID come fornitore in modalità SaaS (Software as a Service) in qualità di CSP (Cloud Service Provider) sul “Catalogo dei servizi Cloud qualificati per la PA” (Cloud marketplace nazionale), relativamente ai servizi offerti dal Polo Archivistico Regionale, in quanto fornitore di servizi di conservazione di documenti e/o oggetti digitali per gli Enti produttori, in ottemperanza a quanto previsto dal “Piano Triennale per l’informatica nella Pubblica Amministrazione” 2019-2021, che stabilisce che a partire dal 1 aprile 2019 tutta la Pubblica Amministrazione italiana può acquisire solo servizi cloud IaaS, PaaS, SaaS qualificati dall’Agenzia AGID e pubblicati sul “Catalogo dei servizi Cloud qualificati per la PA” (Cloud marketplace nazionale).

Visto il Codice dell’amministrazione digitale, approvato con D. Lgs. 7 marzo 2005, n. 82 e successive modificazioni e le relative regole tecniche e linee guida;

Visto il D.P.C.M. 31 maggio 2017 che approva il Piano triennale per l’informatica nella pubblica amministrazione 2017-2019;

Visto il nulla osta espresso dalla Soprintendenza Archivistica territorialmente competente alla stipula dell’Accordo di collaborazione di cui trattasi per la conservazione dei

documenti informatici dell’Ente produttore e al trasferimento dei documenti ai sensi dell’art. 21 lettera e) del D.Lgs. 42/2004, Codice dei Beni Culturali;

Tutto ciò premesso e considerato, costituente parte integrante del presente Accordo, si conviene e si stipula quanto segue:

CAPO I DISPOSIZIONI GENERALI

Art. 1

(Oggetto dell’Accordo di collaborazione)

1. L'Ente produttore affida la conservazione dei propri documenti informatici all’IBACN, individuandolo, ai sensi dell’articolo 34 del Codice dell’Amministrazione Digitale, come soggetto pubblico accreditato che svolge attività di conservazione dei documenti informatici trasferiti in base al presente Accordo di collaborazione.

2. L’attività di conservazione svolta dall’IBACN nel rispetto delle norme di legge si ispira ai principi indicati dall’art. 29 del D.Lgs. n. 42/2004 e s.m.i. di coerente, coordinata e programmata attività di studio, prevenzione, e manutenzione, e si ritiene in grado di soddisfare gli obblighi in capo all'Ente produttore di conservazione di documenti informatici e in prospettiva di conservazione e ordinamento dell'archivio nella sua organicità e di costituzione del proprio archivio storico.

3. Le parti intendono attuare una collaborazione concreta e nell’interesse comune, che porti a un risparmio dei costi di gestione, a un aumento della quantità, qualità e fruibilità dei servizi, a un aumento del livello di sicurezza attuato nella elaborazione di dati ed informazioni e concordano di sviluppare e gestire nelle forme della cooperazione orizzontale l’attività di potenziamento dell’attuale sistema di conservazione digitale dell’IBACN, con applicazione, anche con modalità sperimentali, alla conservazione dei documenti digitali e delle aggregazioni archivistiche gestite dall'Ente produttore.

Art. 2 (Finalità)

1. Il presente Accordo di collaborazione ha le seguenti finalità:

− creare le condizioni giuridico-organizzative per la conservazione dei documenti informatici con le loro aggregazioni documentali informatiche e metadati a essi associati, nel rispetto delle finalità istituzionali degli enti;

− garantire economicità, efficienza ed efficacia alla funzione di conservazione dei documenti informatici;

− garantire una elevata qualità nella fornitura del servizio anche a favore di eventuali utenti esterni per l'esercizio del diritto di accesso ai sensi della disciplina sull’accesso ai documenti amministrativi e del Regolamento (UE) del Parlamento e del Consiglio Europeo n. 2016/679 (GDPR), o, in futuro, per ricerche storiche;

− valorizzare, sviluppare e potenziare il sistema di conservazione pubblica dell’IBACN nella prospettiva di implementazione di un sistema integrato di conservazione dei documenti informatici della pubblica amministrazione che risponda alla finalità istituzionale di conservazione per la fruizione di un patrimonio documentale pubblico che, come bene culturale, è tutelato e valorizzato in attuazione dell’art. 9 della Costituzione e come bene del demanio culturale è inalienabile, ma può essere oggetto di trasferimento tra lo Stato, le regioni e gli altri enti pubblici territoriali senza formare oggetto di diritti a favore di terzi.

CAPO II FUNZIONAMENTO E RESPONSABILITÀ

Art. 3 (Obblighi delle parti)

1. L’IBACN, tramite ParER, si impegna alla conservazione dei documenti trasferiti e ne assume la responsabilità della conservazione ai sensi della normativa vigente e del Manuale di Conservazione redatto da IBACN, pubblicato sul sito dell’Agenzia per l’Italia Digitale nell’elenco dei conservatori accreditati, garantendo il rispetto dei requisiti previsti dalle norme in vigore nel tempo per i sistemi di conservazione.

2. L'Ente produttore si impegna a depositare i documenti informatici nei modi e nelle forme definite dall’IBACN, tramite il ParER, garantendone l’autenticità e l’integrità nelle fasi di produzione e di archiviazione corrente, effettuata nel rispetto delle norme sulla produzione e sui sistemi di gestione dei documenti informatici. In particolare. garantisce che il trasferimento dei documenti informatici venga realizzato utilizzando formati compatibili con la funzione di conservazione e rispondenti a quanto previsto dalla normativa vigente.

3. Le modalità di erogazione delle funzioni di conservazione e le specifiche tecniche di versamento e restituzione dei documenti, che costituiscono la configurazione dell’archivio digitale dell’Ente, saranno rese disponibili tramite il sistema di conservazione in un apposito Disciplinare Tecnico, da definire in seguito al termine di una fase di avvio e di sperimentazione di tali modalità.

4. L'Ente produttore mantiene la titolarità e la proprietà dei documenti depositati.

5. Le Parti dichiarano che le attività previste dal presente Accordo di collaborazione saranno effettuate nel rispetto dei principi di tutela da parte dello Stato dei beni archivistici come beni culturali e nel rispetto di quanto stabilito dal MIBACT (Soprintendenza archivistica e bibliografica). A tal fine copia del presente Accordo di collaborazione e della documentazione collegata sarà inviata alla Soprintendenza archivistica e bibliografica per gli opportuni adempimenti a cura dell’Ente produttore.

6. Viene garantita la esibizione in ogni momento dei documenti trasferiti e conservati presso il ParER e delle relative evidenze informatiche che comprovano la corretta conservazione degli stessi, fornendo gli elementi necessari per valutare l’autenticità e la validità giuridica degli stessi.

7. L’IBACN, tramite il ParER, si impegna ad adeguare il servizio di conservazione alle future modifiche normative.

8. Il sistema di conservazione è finalizzato alla conservazione, dal momento della presa in carico, dei documenti informatici e delle loro aggregazioni documentali con i metadati a essi associati, garantendo il mantenimento nel tempo delle caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, accessibilità, riproducibilità e intelligibilità all’interno del contesto proprio di produzione e archiviazione e preservando il vincolo originario per mantenere l’archivio nella sua organicità.

9. L’IBACN, tramite il ParER, garantisce la gestione e l’accesso agli oggetti conservati secondo le norme vigenti in tema di tutela dei beni culturali e dei dati personali, garantendo l’effettiva attuazione di eventuali procedure di selezione e scarto predisposte dall’Ente produttore e approvate dalla Soprintendenza Archivistica e Bibliografica competente.

Art. 4

(Funzioni svolte dall'IBACN tramite il ParER)

1. Le funzioni svolte dall'IBACN tramite il ParER riguardano la conservazione digitale, la restituzione per la consultazione o l'esibizione dei documenti a fini di accesso o per scopi storici, la eventuale consulenza e il supporto tecnico- archivistico in merito all’utilizzo del proprio sistema di conservazione.

2. Le funzioni di conservazione digitale e di restituzione dei documenti a fini di esibizione, accesso e ricerca, che prevedono lo svolgimento di procedure codificate, la certificazione dei processi di conservazione e l’adozione di idonee soluzioni tecnologiche e di sicurezza informatica realizzate nel sistema di conservazione sviluppato da ParER, denominato Sacer, saranno erogate in base al Manuale di Conservazione redatto dal ParER, verificato dalla Soprintendenza Archivistica per l’Xxxxxx-Romagna per quanto concerne il rispetto della normativa sulla tutela degli archivi e dei singoli documenti come beni culturali, pubblicato sul sito dell’Agenzia per l’Italia Digitale nell’elenco dei conservatori accreditati, e

sulla base delle specifiche tecniche e della documentazione pubblicata nel sito di ParER e si differenziano tra:

• A) Funzione di conservazione anticipata: garantisce la conservazione dei documenti informatici, anche sottoscritti, nel rispetto delle norme in vigore. I documenti possono essere trasferiti fin dal momento della loro acquisizione nel sistema documentale dell’Ente produttore, corredati delle informazioni disponibili al momento del trasferimento. Comprende le opportune verifiche sui file digitali, in particolare relative alla validità della firma digitale, e si completa con i trattamenti previsti dalle norme vigenti. Viene garantita la restituzione in ogni momento dei documenti trasferiti e conservati presso il ParER e delle relative evidenze informatiche, che comprovano l’autenticità e la corretta conservazione degli stessi.

• B) Funzione di conservazione archivistica a lungo termine dei fascicoli e dei documenti elettronici: è finalizzata sia alla conservazione permanente dei documenti informatici, garantendone il mantenimento delle caratteristiche di autenticità, affidabilità, integrità, accessibilità, riproducibilità e intelligibilità all'interno del contesto proprio di produzione e archiviazione, sia all’organizzazione e inventariazione del patrimonio documentario digitale nella prospettiva di conservare l'archivio nella sua organicità per costituire, nei tempi e nei modi previsti dalla normativa, l'archivio storico prevedendo gli opportuni collegamenti logici e descrittivi tra documentazione informatica e documentazione cartacea. Prevede il trasferimento presso il ParER di fascicoli chiusi alla conclusione della fase attiva, secondo tempi e modalità definiti dall’Ente produttore in accordo con il ParER. Per la corretta formazione della struttura d'archivio, il ParER acquisisce gli strumenti archivistici dell'Ente produttore (titolario, piano di conservazione, ecc.) e provvede inoltre all’organizzazione dei fondi archivistici e al controllo e completamento o normalizzazione dei metadati descrittivi degli oggetti archivistici secondo gli standard descrittivi sviluppati dalla disciplina archivistica.

Art. 5

(Funzioni svolte dall'Ente produttore)

1. Le funzioni svolte dall'Ente produttore sono le seguenti:

a. condividere con l’IBACN le proprie conoscenze in materia di gestione documentale

b. condividere l’esperienza realizzata e relativi risultati conseguiti nell’ambito della digitalizzazione e della dematerializzazione

c. eseguire il monitoraggio in merito al corretto funzionamento del sistema di conservazione dei documenti informatici, provvedendo altresì a segnalare tempestivamente all’IBACN, per il tramite del ParER, gli eventuali guasti e le proposte di miglioramento del sistema medesimo

d. provvedere, sotto il profilo organizzativo e gestionale, ad assicurare l’interfacciamento e il collegamento del proprio sistema con il sistema di conservazione digitale dei documenti informatici gestito dall’IBACN per il tramite del ParER.

e. effettuare una sperimentazione in merito alle diverse tipologie documentali oggetto di conservazione, in particolare relativamente alla definizione e valutazione delle modalità organizzative, tecniche ed archivistiche per la conservazione dei fascicoli di affari, attività o procedimenti, sia in forma interamente digitale che in forma ibrida, con particolare riferimento alle modalità di trasmissione in conservazione da parte del sistema di gestione documentale attualmente in uso.

2. L’Ente produttore manterrà la responsabilità esclusiva in merito alla corretta formazione dei documenti informatici oggetto di conservazione, garantendone il valore giuridico.

Art. 6

(Accesso ai documenti conservati presso il ParER)

1. L’accesso ai documenti conservati presso il ParER avviene con i medesimi tempi e modalità previsti per i documenti conservati presso l’Ente produttore che mantiene la responsabilità del procedimento ai sensi del regolamento adottato per l’accesso ai documenti amministrativi e delle norme sull’accesso vigenti nel tempo.

2. Possono essere stipulati appositi accordi operativi fra i responsabili dei due Enti per definire con maggior dettaglio modalità e obblighi reciproci, in particolare per quanto riguarda l’eventuale produzione di copie conformi cartacee, nel rispetto del principio per cui la copia conforme cartacea viene effettuata, se richiesta, dal soggetto che stampa il documento cartaceo traendolo dall'originale informatico.

CAPO III

RAPPORTI TRA SOGGETTI CONVENZIONATI

Art. 7

(Strumenti di consultazione e controllo)

1. Il ParER consente all’Ente produttore l’accesso ai propri sistemi per verificare il corretto svolgimento dell’attività di conservazione e per consultare ed eventualmente estrarre i documenti depositati e le prove di conservazione, con le modalità indicate nel Manuale di conservazione.

2. L’Ente produttore concorda con il ParER il numero degli utenti del sistema e comunica i nominativi e le funzioni del personale abilitato allo svolgimento della funzione di cui al comma 1 seguendo le procedure definite da ParER per l’abilitazione e gestione degli utenti del sistema di conservazione.

3. Gli utenti del sistema saranno indicati nel Disciplinare Tecnico, che conterrà inoltre l'individuazione dei referenti e responsabili di riferimento delle Parti per la nomina di tali utenti e per lo svolgimento delle attività di versamento e monitoraggio, oltre che per le fasi inziali di test propedeutiche all’effettiva attivazione delle funzioni di conservazione.

Art. 8

(Oneri a carico delle Parti)

1. Le Parti si danno reciprocamente atto che dallo svolgimento delle attività congiunte derivano a carico dell’IBACN oneri sopportati a esclusivo interesse dell’altra parte.

2. A mero titolo di rimborso delle spese sostenute per l’erogazione delle funzioni oggetto del presente Accordo di collaborazione, l’Ente Produttore si impegna a erogare all’IBACN l’importo annuale, corrispondente al reintegro dei costi vivi sopportati e specificamente imputabili alle voci di costo indicato nell’allegato 1 “Calcolo del rimborso costi” parte integrante del presente Accordo che riporta le modalità di definizione dei costi e gli importi derivanti.

3. L’importo previsto ai fini del rimborso delle spese sostenute ai sensi del comma precedente dovrà essere corrisposto a consuntivo dall’Ente produttore all’IBACN entro il 31 marzo dell’anno successivo alla data di effettiva attivazione delle funzioni di conservazione dei documenti informatici e per ogni anno successivo di vigenza del presente Accordo di collaborazione.

4. L’importo di cui al comma 3 potrà essere aggiornato in accordo tra le Parti qualora la quantità di oggetti in conservazione si discosti significativamente nel tempo da quanto previsto nel citato allegato 1.

5. L’Ente Produttore inoltre sosterrà tutti i costi di collegamento e di interfacciamento del proprio sistema con il sistema di conservazione digitale dei documenti informatici, gestito dall’IBACN per il tramite del ParER.

Art. 9 (Trattamento dei dati personali)

1. L’Ente produttore è titolare del trattamento dei dati personali contenuti nei documenti dallo stesso prodotti.

2. Al fine di consentire i necessari trattamenti ai fini di archiviazione nel pubblico interesse previsti nel presente accordo, l’IBACN opera in qualità di Responsabile del trattamento di dati personali ai sensi dell’art. 28 del Regolamento (UE) del Parlamento e del Consiglio Europeo n. 2016/679 (GDPR), offrendo, in quanto

conservatore accreditato, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, essendo riconosciuto dall’Agenzia per l’Italia Digitale in possesso dei requisiti più elevati in termini di qualità e sicurezza:

3. I trattamenti da parte del responsabile del trattamento, ai sensi del paragrafo 3 del citato GDPR, sono disciplinati da apposito contratto o altro atto giuridico stipulato tra le Parti per definire la durata del trattamento, gli obblighi, i diritti e le responsabilità in conformità al citato GDPR e alla normativa nazionale applicabile.

4. Alla scadenza del presente Accordo, nell’ipotesi di recesso di una delle Parti ovvero al termine, per qualsivoglia causa, di validità dell’accordo stesso, IBACN cessa di operare come responsabile del trattamento secondo quanto disciplinato nell’apposto contratto di cui al comma 3 e al successivo articolo 11.

Art. 10

(Decorrenza e durata dell’Accordo di collaborazione)

1. La durata del presente Accordo di collaborazione è stabilita in 5 (cinque) anni, decorrenti dalla data della sua sottoscrizione, fermo restando quanto previsto per la data di effettiva attivazione delle funzioni al successivo comma.

2. La data di effettiva attivazione delle funzioni di conservazione dei documenti informatici verrà definita secondo quanto stabilito dai referenti e responsabili di riferimento dei due enti dopo una fase di avvio per testare le funzionalità dei sistemi versanti, a seguito della definizione delle tipologie documentarie e dei tempi e modalità di versamento e sarà indicata nel Disciplinare Tecnico.

3. La data di effettiva conclusione delle attività di conservazione è definita nel successivo articolo 11.

Art. 11

(Recesso e termine della funzione di conservazione)

1. Qualora nella fase di avvio la valutazione non sia positiva è possibile il recesso anticipato, su richiesta di una delle Parti, che avrà effetto decorsi 10 giorni dalla

comunicazione di recesso. Entro tale termine il ParER si impegna a eliminare tutti i documenti dell’Ente produttore depositati durante tale periodo nei propri sistemi e non sarà avviata nessuna funzione di conservazione.

2. Dopo la fase di avvio è possibile il recesso su richiesta di una delle Parti. Il recesso avrà effetto decorsi 90 giorni dalla comunicazione e le funzioni di conservazione cesseranno al termine delle attività di riversamento di cui ai commi successivi.

3. In caso di recesso o alla scadenza del presente Accordo, l’Ente produttore è tenuto a comunicare formalmente il sistema sui cui ParER dovrà riversare entro 90 giorni i documenti conservati, con i metadati a essi associati e le eventuali aggregazioni documentali informatiche con tutte le prove dei processi di conservazione, secondo quanto indicato nel Manuale di Conservazione, nel paragrafo sulle misure a garanzia dell’interoperabilità e trasferibilità ad altri conservatori.

4. Nel caso di recesso da parte dell’IBACN, il ParER è tenuto al mantenimento nel proprio sistema di conservazione dei documenti conservati, con i metadati a essi associati e le eventuali aggregazioni documentali informatiche con tutte le prove dei processi di conservazione fino alla comunicazione da parte dell’Ente produttore dell’effettiva messa a disposizione del sistema in cui effettuare il riversamento di cui al precedente comma.

5. In caso di recesso o alla scadenza del presente Accordo, l’IBACN tramite il ParER provvederà solo al termine del riversamento di cui ai commi precedenti e solo dopo le opportune verifiche - effettuate da entrambe le Parti e svolte di concerto tra le stesse - di corretto svolgimento del riversamento stesso, all’eliminazione dal proprio sistema di conservazione di tutti gli oggetti riversati e di tutti gli elementi riferiti all’Ente produttore, provvedendone a dare comunicazione formale all’Ente produttore. Fino alla data di tale comunicazione IBACN continuerà ad operare come responsabile del trattamento secondo quanto previsto dall’articolo 9 del presente Accordo.

6. Nell’ipotesi di recesso, da parte dell’Ente Produttore sarà dovuto all’IBACN il rimborso delle spese effettivamente sostenute fino al momento del recesso.

Art. 11 (Controversie)

Per ogni controversia in qualsiasi modo inerente al presente Accordo di collaborazione che non possa essere composta in via amichevole tra le Parti è competente il Foro di Bologna.

CAPO IV DISPOSIZIONI FINALI

Art. 13 (Disposizioni di rinvio)

1. Per quanto non previsto nel presente Accordo di collaborazione potrà rinviarsi alle norme del codice civile applicabili e alle specifiche normative vigenti nelle materie oggetto della Accordi di collaborazione.

2. Eventuali modifiche o deroghe all’Accordo di collaborazione potranno essere apportate dall’Ente produttore e dall’IBACN soltanto con atti aventi le medesime formalità della presente.

Art. 14

(Esenzioni per bollo e registrazione)

1. Per tali adempimenti, si osserveranno le norme di cui al D.P.R. 26 ottobre 1972, n. 642, allegato B, articolo 16, e al D.P.R. 26 aprile 1986, n. 131.

*********

Provincia di Pistoia - Ente produttore Dott. Agr. Xxxxxx Xxxxxxxx

(firmato digitalmente)

Istituto per i Beni Artistici, Culturali e Naturali dell’Xxxxxx-Romagna Xxx. Xxxxx Xxxxxxxxx

(firmato digitalmente)

Accordo per il trattamento di dati personali

Il presente accordo costituisce allegato parte integrante dell’Accordo siglato tra l’Ente produttore e l’Istituto IBACN, designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.

1. Premesse

(A) Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.

Le Parti convengono quanto segue:

2. Trattamento dei dati nel rispetto delle istruzioni dell’Ente produttore

2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Ente produttore garantisce che:

2.1.1 tratta tali Dati personali solo ai fini di archiviazione nel pubblico interesse degli oggetti digitali versati in conservazione in esecuzione all’Accordo

2.1.2 non comunica i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Ente produttore e a fronte di quanto disciplinato nel presente accordo;

2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Ente produttore, financo per trattamenti aventi finalità compatibili con quelle originarie;

2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente produttore se, a suo parere, una qualsiasi istruzione fornita dall’Ente produttore si ponga in violazione di Normativa applicabile;

2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:

2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente produttore dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite dall’Ente produttore in materia;

2.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente produttore dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite dall’Ente produttore in materia;

2.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente produttore e/o a conformarsi alle istruzioni fornite dall’Ente produttore in materia;

2.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Ente produttore e/o a conformarsi alle istruzioni fornite dall’Ente produttore in materia.

2.3 Il Responsabile del trattamento deve garantire e fornire all’Ente produttore cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.

2.4 Il Responsabile del trattamento, nel rispetto di quanto previsto all’art. 30, paragrafo 2 del Regolamento, deve compilare, tenere aggiornato e, ove richiesto dal Garante per la protezione dei dati personali, esibire un registro delle attività di trattamento svolte per conto dell’Ente produttore, che riporti tutte le informazioni richieste dalla norma citata.

2.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dello svolgimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente produttore intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.

3. Le misure di sicurezza

3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.

3.2 Nei casi in cui il Responsabile effettui trattamenti di conservazione dei dati personali del Titolare nel proprio sistema informativo, garantisce la separazione di tipo logico di tali dati da quelli trattati per conto di terze parti o per proprio conto.

3.3. Il Responsabile del trattamento conserva direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

3.4 L’Ente produttore attribuisce al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;

3.5 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.

3.6 Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile dichiara di essere inserito nell’elenco dei conservatori accreditati da Agid che attesta il possesso di idonee garanzie organizzative e tecnologiche di protezione dei dati personali.

4. Analisi dei rischi, privacy by design e privacy by default

4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Ente produttore sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Ente produttore per affrontare eventuali rischi identificati.

4.2 Il Responsabile del trattamento adotta, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.

4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.

5. Soggetti autorizzati ad effettuare i trattamenti - Designazione

5.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Ente produttore.

5.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.

5.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nell’Accordo di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.

6. Sub-Responsabili del trattamento di dati personali

6.1 Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub- responsabili”), imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.

6.2 In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Ente produttore per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.

7. Trattamento dei dati personali fuori dall’area economica europea

7.1 L’Ente produttore non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.

8. Cancellazione dei dati personali

8.1 Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione e alla cancellazione dei dati personali trattati al termine della prestazione di servizi oggetto dell’Accordo o Convenzione, secondo le modalità e termini descritti nell’Accordo medesimo e nel Manuale di Conservazione. Trattandosi di trattamento ai fini di archiviazione nel pubblico non si applicano i par. 1 e 2 dell’art. 17 del Regolamento, ai sensi del par. 3 del medesimo articolo.

9. Audit

9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Ente produttore.

9.2 L’Ente produttore può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli obblighi di cui alla Normativa applicabile e al presente Accordo.

9.3 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.

10. Indagini dell’Autorità e reclami

10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento informa entro la giornata lavorativa successiva l’Ente produttore di qualsiasi:

a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;

b) istanza ricevuta da soggetti interessati.

Il Responsabile del trattamento fornisce, in esecuzione dell’Accordo e, quindi, gratuitamente, tutta la dovuta assistenza all’Ente produttore per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.

11. Violazione dei dati personali e obblighi di notifica

11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica

certificata all’Ente produttore nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a

a) descrivere la natura della violazione dei dati personali

b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;

d) la descrizione delle probabili conseguenze della violazione dei dati personali;

e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi

11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Ente produttore ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Ente produttore, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente produttore.

12. Responsabilità e manleve

12.1 Il Responsabile del trattamento tiene indenne e manleva l’Ente produttore da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.

12.2 Nel caso in cui il Responsabile del trattamento commetta violazioni della normativa in materia di protezione dei dati personali e di quanto stabilito nel presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Ente produttore può recedere dall’Accordo.

12.3 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:

▪ avverte, prontamente ed in forma scritta, l’Ente produttore del Reclamo

▪ non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente produttore

▪ non transige la controversia senza il previo consenso scritto dell’Ente produttore;

▪ fornisce all’Ente produttore tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.

Firme

Allegato 1

GLOSSARIO

“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;

“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

“GDPR” o “Regolamento”: si intende il Regolamento (UE) 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) direttamente applicabile dal 25 maggio 2018;

“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento (UE) 2016/679 (GDPR), il d.lgs. 30 giugno 2003, n. 196

s.m.i. (“Codice in materia di protezione dei dati personali”) ed ogni provvedimento del Garante per la protezione dei dati personali, del WP Art. 29 e del Comitato europeo per la protezione dei dati.

“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;

“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;

“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la

modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Provincia di Pistoia - Ente produttore Dptt. Agr. Xxxxxx Xxxxxxxx

(firmato digitalmente)

Istituto per i Beni Artistici, Culturali e Naturali dell’Xxxxxx-Romagna Xxx. Xxxxx Xxxxxxxxx

(firmato digitalmente)