Contract
"Documento informatico firmato digitalmente ai sensi del D.Lgs. 7 marzo 2005, n. 82 e norme collegate"
CONVENZIONE PER L’ACCESSO ALLA BANCA DATI DI CAR- XXXXX DEGLI STUDENTI DELL’UNIVERSITÀ DEGLI STUDI DI MILANO-BICOCCA DA PARTE DELLE PUBBLICHE AMMINI- STRAZIONI E DEI GESTORI DI PUBBLICI SERVIZI.
TRA
Università degli Studi di Milano-Bicocca (C.F. e P.IVA 12621570154) (d’ora in avanti Erogatore), con sede in Piazza dell’Ateneo Nuovo n. 1, 00000 - Xxxxxx, nella persona della Rettrice, Prof.ssa Xxxxxxxx Xxxxxxxxxxx, domiciliata per la carica in Piazza dell’Ateneo Nuovo n. 1, 00000 - Xxxxxx, in qualità di Titolare del trattamento dei dati personali oggetto della presente convenzione, munita dei necessari poteri in virtù della deliberazione del Con- siglio di Amministrazione dell’Università, adottata nella seduta del 18 di- cembre 2018
E
Ente (denominazione Ente) ESTAR Ente per i Servizi Tecnico Amministra- tivi Regionale (d’ora in avanti Fruitore)
C.F. 06485540485……………………………………………...………
P. IVA 06485540485……………………………………………………..
con sede legale in XXX XXX XXXXX, X. 00 – XXXXXXXXX 00 - 00000 XXXXXXX
o Pubblica Amministrazione di cui all’art. 1 comma 2 del D. Lgs.
So
165/2001, o cietà a prevalente capitale pubblico inserita nel conto econo-
mico consolidato della PA, ai sensi della L. 311/2004 art. 1 comma 5,
o
Gestore di servizio pubblico ovvero organismo di diritto pubblico,
in persona del Legale Rappresentante dr.ssa XXXXXX XXXXX
in qualità di (es. Rettore, Presidente, Direttore etc) DIRETTORE GENERA- LE
domiciliato per la carica in (indirizzo sede legale) XXX XXX XXXXX, X. 00 –
XXXXXXXXX 00 - 00000 - XXXXXXX
munito/a dei necessari poteri
- VISTO il Regolamento Europeo n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.
- VISTO il Regolamento Europeo n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla pro- tezione dei dati) (d’ora in avanti GDPR).
- VISTA la Legge 7 agosto 1990 n. 241 – “Nuove norme in materia di proce- dimento amministrativo e di diritto di accesso ai documenti amministrativi”, e in particolare gli artt. 3 bis (Uso della telematica), 15 (Accordi fra pubbli- che amministrazioni) e 18 (Autocertificazione).
- VISTO il DPR 28 dicembre 2000, n. 445 – “Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”.
- VISTO il D.Lgs. 30 marzo 2001, n. 165 – “Norme generali
sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbli- che” e in particolare l’art. 1 (Finalità ed ambito di applicazione), comma 2.
- VISTO il D.Lgs. 30 giugno 2003 n. 196 – “Codice in materia di protezione dei dati personali”, così come modificato dal D.Lgs. 10 agosto 2018 n. 101.
- VISTO il D.Lgs. 7 marzo 2005 n. 82 – “Codice dell’amministrazione digi- tale” (d’ora in avanti CAD), così come modificato dal D.Lgs. 26 agosto 2016 n. 179.
- CONSIDERATO che nelle more della realizzazione del sistema pubblico di connettività e delle relative regole tecniche cui conformarsi, ai sensi dell’art. 50 del CAD, le Pubbliche Amministrazioni devono assicurare l’accesso e la fruizione dei dati trattati.
- CONSIDERATO che per favorire gli accertamenti d’ufficio previsti dall’art. 43 del DPR 28 dicembre 2000 n. 445, nelle more dell’adozione delle predette regole tecniche del sistema pubblico di connettività, l’Università de- gli Studi di Milano-Bicocca, in qualità di amministrazione certificante, ha ritenuto utile lo strumento delle convenzioni stipulate ai sensi dell’art. 15 del- la Legge 7 agosto 1990 n. 241, in quanto atto bilaterale stipulato tra Erogato- re e Fruitore al fine di stabilire le condizioni e le modalità di accesso ai dati.
- VISTI gli allegati 1 e 4 al PNA 2013 in riferimento alla materia dell’accesso telematico, dei controlli e degli accertamenti d'ufficio delle dichiarazioni so- stitutive.
- VISTO il provvedimento del Garante per la protezione dei dati personali del 2 luglio 2015, n. 393 – “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”.
- TENUTO CONTO delle Linee guida per la stesura di convenzioni per la fruibilità di dati delle Pubbliche Amministrazioni – versione 2.0, emanate dall’AgID nel giugno 2013, che sostituiscono le precedenti Linee guida ema- nate da DigitPA nell’aprile del 2011.
- TENUTO CONTO delle Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni emanate dall’AgID il 26 aprile 2016, così come sostituite dalla Circolare AgID 18 aprile 2017, n. 2/2017.
- VISTO il Regolamento relativo all’accesso e all’utilizzo della rete informa- tica e telematica dell’Università degli Studi di Milano-Bicocca emanato con Decreto Rettorale n. 3684 del 11 marzo 2002, e in particolare l’Allegato 1 “Descrizione, servizi e disposizioni operative di utilizzo”.
- VISTO il Regolamento di disciplina delle dichiarazioni sostitutive di certi- ficazione e di atto notorio ai sensi del DPR 445/2000 e dei relativi controlli, emanato con Decreto Rettorale n. 3364 del 25 ottobre 2016, e in particolare il Capo IV.
- VISTO il Regolamento per il trattamento e la protezione dei dati personali dell’Università degli Studi di Milano-Bicocca, emanato con Decreto Rettora- le n. 6256 del 3 dicembre 2018.
SI CONVIENE E SI STIPULA QUANTO SEGUE
ART. 1
Ambito di applicazione, contesto e modalità di accesso
1. L’Erogatore, in quanto titolare di banche dati accessibili per via telematica, mette a disposizione del Fruitore un servizio di accesso ai dati di cui è titola-
re, con le modalità e le condizioni indicate nella presente convenzione. Le informazioni rese disponibili devono essere strettamente pertinenti e non ec- cedenti rispetto alle finalità di cui all’art. 5.
2. Lo scopo, le banche dati e le singole informazioni oggetto dell’accesso ai dati dell’Erogatore da parte del Fruitore sono specificatamente definite nell’allegato tecnico che è parte integrante della presente convenzione.
3. Il Fruitore, per aderire alla presente convenzione, dovrà attenersi alla pro- cedura indicata nell’allegato tecnico (Sez. 2 - Procedura).
ART. 2
Soggetti
1. I soggetti della presente convenzione sono:
a) l’Erogatore: l’Università degli Studi di Milano-Bicocca che mette a dispo- sizione l’accesso al servizio, sulla base della convenzione da essa predispo- sta;
b) il Fruitore: la Pubblica Amministrazione, o Gestore di pubblici servizi, che richiede l’accesso al servizio per le finalità di cui all’art. 43 del DPR n. 445/2000;
c) il Responsabile della convenzione:
- per l’Erogatore è il Responsabile pro tempore dell’Ufficio per le Relazioni con il Pubblico;
- per il Fruitore è il Sig./Dott.ssa XXXXX XXXXXXX, Direttore del Diparti- mento Risorse Umane di Sistema di ESTAR;
2. Il Fruitore non può avvalersi di soggetti terzi al fine di realizzare servizi d’interscambio.
ART. 3
Oneri economici
1. La presente convenzione non comporta oneri per il Fruitore, il quale assi- cura l’utilizzo di dotazioni strumentali, tecnologiche ed organizzative idonee a garantire i necessari livelli di sicurezza nel trattamento dei dati.
ART. 4
Durata
1. La presente convenzione ha durata triennale a decorrere dalla data di sotto- scrizione delle parti e potrà essere rinnovata a scadenza, mediante formale provvedimento, previa richiesta esplicita.
2. La richiesta di rinnovo, così come di eventuale disdetta, dovranno essere comunicate in forma scritta da una delle parti entro tre mesi dalla scadenza, nel rispetto delle modalità indicate nell’allegato tecnico (Sez. 2 - Procedura).
3. La comunicazione dovrà essere inviata alla casella di posta elettronica cer- tificata pubblicata sull’Indice delle Pubbliche Amministrazioni (IPA).
ART. 5
Utilizzo dei dati
1. Il Fruitore è autorizzato all’utilizzo dei dati oggetto della presente conven- zione esclusivamente per lo svolgimento dei propri compiti istituzionali o ai fini di agevolare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli artt. 46 e 47 del DPR 445/2000.
2. La presente convenzione vale anche quale autorizzazione ai sensi dell’art.
43, comma 2, del DPR 445/2000.
3. Il Fruitore assume i seguenti obblighi in merito al trattamento dei dati con- tenuti nelle banche dati dell’Erogatore:
a) utilizza le informazioni acquisite dall’Erogatore esclusivamente per le fi- nalità dichiarate, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vinco- li di riservatezza previsti dal Codice in materia di protezione dei dati persona- li e dal GDPR, garantendo l’utilizzo dei dati solo ed esclusivamente all’interno del territorio italiano;
b) procede al trattamento dei dati personali, in particolare di quelli sensibili, osservando le misure di sicurezza e i vincoli di riservatezza previsti dal Codi- ce in materia di protezione dei dati personali e dal GDPR, rispettando i xxxx- ni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite, nonché di indispensabilità, nel caso di dati sensibili e giudiziari;
c) garantisce che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi dell’art. 32, comma 2 del GDPR precise e dettagliate istruzioni alle persone autorizzate al trattamento dei dati, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;
d) si impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;
e) garantisce che l’accesso ai dati verrà consentito esclusivamente a soggetti, adeguatamente formati, che siano stati designati dal Fruitore quali autorizzati
al trattamento dei dati;
f) ha consapevolezza del Codice in materia di protezione dei dati personali e della possibilità di controlli ivi previsti per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza. Per l’espletamento di tali controlli, il Fruitore s’impegna a fornire ogni necessaria collaborazione;
g) si impegna, a conservare i dati degli studenti limitatamente alla verifica dell’autocertificazione per il periodo di validità della convezione;
h) si impegna a formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati e a controllarne il corretto utilizzo;
i) garantisce l’adozione al proprio interno di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e comunque idonee a:
- adottare procedure di registrazione che prevedano il riconoscimento diretto e l’identificazione certa dell’utente;
- adottare regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza, quali ad esempio: identificazione univoca di una persona fisica;
- prevedere, nel caso le credenziali siano costituite da una coppia userna- me/password, politiche di gestione della password che rispettino le misure minime di sicurezza previste dal Codice in materia di protezione dei dati per- sonali e dal GDPR;
- proteggere la procedura di autenticazione dell’utente dal rischio di intercet-
tazione delle credenziali con meccanismi crittografici di robustezza adeguata;
l) si impegna ad utilizzare i sistemi di accesso ai dati in consultazione on line esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso ad esempio i cosiddetti “robot”) allo scopo di velocizzare le attività e creare au- tonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso;
m) si impegna altresì a comunicare tempestivamente all’Erogatore:
- ogni eventuale evento di cd. “Data breach” ai sensi dell’art. 33 del GDPR, (“Notifica di una violazione dei dati personali all'autorità di controllo”) in caso di furto delle credenziali delle persone autorizzate al trattamento dei da- ti; tale comunicazione dovrà essere effettuata non appena il Fruitore ne venga a conoscenza, e comunque entro e non oltre le 24 ore successive, al fine di consentire al Titolare il rispetto delle prescrizioni temporali previste dalla normativa per l’eventuale notificazione della violazione al Garante per la pro- tezione dei dati personali;
- incidenti sulla sicurezza occorsi al proprio sistema di autenticazione, qualo- ra tali incidenti impattino direttamente o indirettamente i processi di sicurez- za afferenti la fruibilità dei dati;
- ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;
- ogni modificazione tecnica e/o organizzativa del proprio dominio, che com- porti l’impossibilità di garantire l’applicazione delle regole sopra riportate e/o la loro perdita di efficacia;
n) designa le persone autorizzate al trattamento dei dati e il Responsabile del- la convenzione;
o) garantisce, in caso di realizzazione del sistema pubblico di connettività, che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.
ART. 6
Gestione dei sistemi informativi
1. L’Erogatore informa il Fruitore di eventuali modifiche o interruzioni del servizio per manutenzione del sistema mediante apposita comunicazione sul proprio sito istituzionale.
2. Ogni attività non lecita riscontrata sul servizio è soggetta alle sanzioni ai sensi dell’art. 9 del Regolamento relativo all’accesso e all’utilizzo della rete informatica e telematica dell’Erogatore.
ART. 7
Trattamento dei dati personali e misure di sicurezza
1. Le Parti si impegnano a trattare i dati personali di cui verranno a cono- scenza nell’esecuzione della presente convenzione unicamente per le finalità connesse all’esecuzione della stessa.
2. I dati personali trattati in ragione della presente convenzione sono quelli relativi:
- ai Legali Rappresentanti dell’Ente Fruitore e dell’Ente Erogatore;
- ai Responsabili della convenzione dell’Ente Fruitore e dell’Ente Erogatore;
- agli autorizzati all’accesso dell’Ente Fruitore (persone autorizzate al tratta-
mento);
- agli studenti iscritti ai corsi di studio presso il soggetto Erogatore.
3. Le Parti si impegnano ad adottare tutte le misure idonee previste dall’art.
32 del GDPR per garantire la sicurezza del trattamento dei dati.
4. I dati personali trattati dalle Parti saranno conservati limitatamente ai tempi necessari per le finalità del trattamento: il soggetto Fruitore conserverà i dati degli studenti limitatamente alla verifica dell’autocertificazione per il periodo di validità della Convezione; il soggetto Erogatore conserverà i dati dei sog- getti indicati al comma 2 per il periodo di validità della Convezione. Le even- tuali copie degli stessi saranno distrutte documentando per iscritto l’avvenuta distruzione.
xxxxxx.xxxxxxx@xxx.xxxxxx.xx .
Il “Responsabile per la protezione dei dati” del Soggetto Erogatore è la Dott.ssa Xxxxx Xxxxxxxx. Il RPD può essere contattato al seguente indirizzo di posta elettronica xxx@xxxxxx.xx o alla PEC xxx@xxx.xxxxxx.xx .
6. Sono garantiti agli autorizzati al trattamento i diritti di cui agli artt. 15-21 del GDPR.
7. L’Erogatore redige un documento, mantenuto costantemente aggiornato, in cui riporta l’elenco delle banche dati accessibili e descrive per ogni Fruitore:
a) la base normativa che legittima il Fruitore ad accedere alle proprie banche dati (norma di legge o di regolamento, anche ai sensi dell’art. 2-ter, comma 1 del Codice in materia di protezione dei dati personali, previa comunicazione al Garante per la protezione dei dati personali), specie in caso di dati sensibili e giudiziari;
b) la finalità istituzionale perseguita dal Fruitore, la natura e la qualità dei dati richiesti, selezionando accuratamente le informazioni personali contenute nelle banche dati a cui dare accesso;
c) la modalità telematica di accesso alle banche dati più idonea rispetto alle finalità.
8. L’Erogatore verificherà, con cadenza periodica annuale, l’attualità delle finalità per cui ha concesso l’accesso al Fruitore, anche con riferimento al numero delle utenze attive, inibendo gli accessi (autorizzazioni e singole utenze) non conformi a quanto stabilito nella presente convenzione.
ART. 8
Limitazione di responsabilità
1. L’Erogatore si impegna a prestare con diligenza le attività di propria com- petenza garantendo l’accesso e l’assistenza al servizio in orari d’ufficio di tutti i giorni feriali, per tutto il periodo indicato all’art. 4, salvo indisponibilità determinata da interruzioni programmate, caso fortuito, forza maggiore o comunque da cause non imputabili all’Erogatore.
2. L’Erogatore garantisce esclusivamente la corrispondenza dei dati forniti con quelli contenuti negli archivi ufficiali al momento dell’estrazione.
3. L’Erogatore non assume alcuna responsabilità per danni di qualsiasi natu-
ra, diretti o indiretti, per eventuali interruzioni tecniche e/o sospensione del servizio dovuti a problemi tecnici e/o a problemi organizzativi, né presta al- cuna garanzia che non sia espressamente prevista nelle presenti condizioni generali.
ART. 9
Controlli
1. L’Erogatore e il Fruitore possono prevedere la verifica periodica, anche a campione, del rispetto dei presupposti, stabiliti dalla presente convenzione, che autorizzano l’accesso al servizio (quali, in particolare, la rispondenza del- le interrogazioni ad una precisa finalità amministrativa e/o la verifica della sussistenza dei presupposti giuridici che autorizzino la persona autorizzata al trattamento dei dati).
2. L’Erogatore si riserva di effettuare controlli periodici sugli accessi effet- tuati, anche attraverso strumenti di tracciatura per monitorare gli utilizzi im- propri e per prevenire accessi multipli realizzati utilizzando una medesima chiave di accesso presso più postazioni di lavoro.
ART. 10
Risoluzione
1. Nel caso di mancata ottemperanza, da parte del Fruitore, delle condizioni di accesso e di fruizione dei dati, l’Erogatore potrà procedere all’immediata sospensione dei servizi forniti previa comunicazione al Fruitore e la conven- zione s’intenderà risolta di diritto. Rimane fermo il diritto dell’Erogatore all’eventuale risarcimento dei danni causati dalla mancata osservanza delle condizioni della presente convenzione.
2. Qualora il Fruitore cessi di trovarsi nelle condizioni previste dalla normati- va vigente per l’accesso e la fruibilità dei dati, l’Erogatore potrà procedere all’immediata sospensione dei servizi forniti, previa comunicazione al Fruito- re e la convenzione s’intenderà risolta di diritto.
3. La presente convenzione s’intende altresì risolta automaticamente qualora vengano meno le finalità per le quali il servizio di accesso e fruibilità dei dati è stato autorizzato.
ART. 11
Legge applicabile, definizione delle controversie e foro competente
1. Le presenti condizioni generali sono disciplinate dalla legge italiana.
2. Le parti concordano di definire amichevolmente qualsiasi vertenza che possa nascere dall’esecuzione della presente convenzione.
3. Nel caso in cui non sia possibile raggiungere in questo modo l’accordo, la controversia sorta in relazione alla presente convenzione sarà di competenza del Foro di Milano.
ART. 12
Imposta di bollo e registrazione
1. La presente convenzione, sottoscritta digitalmente dalle parti, è soggetta a registrazione solo in caso d’uso ai sensi dell’art. 5, dell’art. 39 del DPR 131/1986, e degli artt. 2 e 4 dell’Allegato Tariffa Parte II al sopra citato De- creto.
2. La presente convenzione è soggetta ad imposta di bollo sin dall’origine ai sensi del DPR del 26/10/1972 n. 642.
3. L’importo, assolto in modo virtuale, è da intendersi a carico delle Parti in
Bollo corrisposto in modo virtuale Autorizzaz. N. 95936 del 23.12.02
misura eguale. Il relativo corrispettivo, quantificato in base alla normativa vigente, sarà comunicato dall’Erogatore al Fruitore all’indirizzo di posta elet- tronica certificata secondo quanto indicato nell’allegato tecnico (Sez. 2 - Pro- cedura).
p. l’Università degli Studi di Milano–Bicocca/Erogatore
LA RETTRICE
→ X.xx digitalmente Prof.ssa Xxxxxxxx Xxxxxxxxxxx
p. il Fruitore:
Il Legale Rappresentante: Direttore Generale
→ X.xx digitalmente Dr.ssa Xxxxxx Xxxxx
(Nome e cognome in stampatello)
Firmato digitalmente da: PIOVI XXXXXX Organizzazione: Regione Toscana
Unità organizzativa: Servizio Sanitario Regionale Data: 09/07/2021 17:10:37
ALLEGATO TECNICO
Sezione 1
DATI DI CARRIERA DEGLI STUDENTI
Descrizione delle operazioni di trattamento dei dati personali e defini- zione dell’ambito del trattamento
1. I dati dell’Erogatore, concernenti l’attestazione di un titolo accademico e altre informazioni inerenti la carriera dello studente, sono forniti al Fruitore esclusivamente per lo svolgimento dei compiti istituzionali o ai fini di agevo- lare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive ri- guardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli artt. 46 e 47 del DPR 28/12/2000, n. 445 e ss.mm.ii.
Indicazione del trattamento e descrizione riassuntiva del contesto
1. Sono di seguito descritte le tipologie di informazioni che possono essere consultate:
- dati anagrafici della persona;
- dati relativi alla carriera in Ateneo.
2. I dati in oggetto sono raccolti sia al momento dell’iscrizione presso gli in- teressati sia nel corso della carriera accademica dello studente. I dati sono conservati in banche dati dell’Erogatore e resi accessibili all’interessato tra- mite applicazioni web.
3. Il servizio è disponibile via web attraverso una connessione ad accesso ri- servato realizzata con collegamento https dal sito internet istituzionale
dell’Erogatore e credenziali di autenticazione (user-id e password) fornite alle persone autorizzate al trattamento dei dati del Fruitore, come indicati nel modulo B.
4. L’accesso al servizio consente di verificare le autodichiarazioni presentate da studenti e laureati; di consultare in forma di curricula anonimi i dati di car- xxxxx di studenti e laureati; di scaricare in formato XML i dati relativi ai per- messi di soggiorno degli studenti iscritti all’anno in corso (solo per i Fruitori “Questure”).
Fino al momento della consultazione dei dati da parte delle persone autoriz- zate al trattamento dei dati del Fruitore, tutte le operazioni di trattamento e le misure di sicurezza attuate per la protezione dei dati fruibili sono di compe- tenza dell’Erogatore.
Eventuali ulteriori operazioni di trattamento dei dati da parte del Fruitore, successive alla consultazione, saranno svolte sotto la responsabilità dello stesso Fruitore. Ne deriva che qualsiasi operazione di stampa dei dati o di memorizzazione degli stessi in eventuali documenti cartacei o informatizzati avverrà sotto la titolarità del Fruitore.
Tipi di dati trattati
Dati comuni e personali.
Operazioni eseguibili dal Fruitore
Trattamento ordinario dei dati: consultazione, selezione e utilizzo.
Particolari forme di elaborazione:
interconnessioni e raffronti di dati con dichiarazioni rese dall’interessato.
RUOLI, LIVELLI DI SERVIZIO E ASSISTENZA
Erogatore
Area referente
Direzione Generale
Assistenza tecnica per la base dati Area Sistemi Informativi
Aggiornamento e gestione banche Area Formazione e Servizi agli Stu- dati denti
Numero massimo di Incaricati che
avranno accesso alla procedura
6
Per comunicazioni inerenti i 3 ambiti suddetti scrivere all’indirizzo PEC pubblicato sull’Indice delle Pubbliche Amministrazioni (IPA) xxxxxx.xxxxxxx@xxx.xxxxxx.xx, specificando il riferimento all’accesso
alla banca dati di carriera degli studenti.
Fruitore
Numero di persone autorizzate al trattamento dei dati che avranno accesso alla procedura (i nominativi saranno presenti nel modulo B) | |
Responsabile della convenzione | Dr.ssa Xxxxx Xxxxxxx |
DESCRIZIONE DEL SERVIZIO E DELL’INFRASTRUTTURA TEC- NOLOGICA
I dati sopra descritti sono resi disponibili tramite un’applicazione web che consente l’accertamento d’ufficio o la verifica delle autocertificazioni prodot- te dai cittadini.
Fase iniziale di accreditamento
1. Il Fruitore fornisce, tramite il suo Responsabile della convenzione o trami- te il Responsabile del trattamento, il nominativo delle persone che saranno autorizzate al trattamento dei dati affinché l’Erogatore possa procedere alla creazione degli account nominativi.
2. L’Erogatore crea gli account delle persone indicate dal Fruitore associan- dole ad un profilo che rappresenti le corrette autorizzazioni sui dati concessi tramite la presente convenzione e predispone gli strumenti per l’erogazione dei dati.
Fase di fruizione dei dati
1. La persona autorizzata al trattamento dei dati del Fruitore, dotato di credenziali rilasciate dall’Erogatore, accede all’applicazione messa a di- sposizione da quest’ultimo e raggiungibile all’indirizzo xxxxx://x0x.xx.xxxxxx.xx/xxxx0/Xxxxx.xx.
La persona autorizzata al trattamento dei dati del Fruitore può:
- digitare il codice PA riportato sulla stampa di autocertificazione presen-
tata dall’interessato (per il quale è necessario acquisire d’ufficio le infor- mazioni). In questo modo, l’operatore ha la possibilità di verificare il con- tenuto della copia autentica della stampa generata dall’Erogatore per con- to del soggetto interessato;
- effettuare interrogazioni utilizzando i dati identificativi dell’interessato (ad esempio codice fiscale, nome, cognome, data di nascita, comune di nascita) per visualizzare i dati da verificare.
MODALITÀ DI FRUIZIONE DEI DATI E REGOLE DI SICUREZZA
Regole di sicurezza inerenti ai processi di autenticazione e autorizza- zione e utilizzo dei dati
1. Il Fruitore garantisce di adottare regole di gestione delle credenziali di autenticazione che assicurino adeguati livelli di sicurezza. A titolo esem- plificativo:
- s’impegna a comunicare tempestivamente all’assistenza tecnica dell’Erogatore ogni eventuale esigenza connessa alla disabilitazione delle persone abilitate all’accesso;
- s’impegna all’invio di comunicazioni tempestive all’assistenza tecnica dell’Erogatore nel caso di violazione o sospetta violazione della sicurezza di uno o più account resi disponibili dall’ente Erogatore.
2. Il trattamento di dati personali tramite l’applicazione web descritta nel presente allegato è consentito alle sole persone autorizzate al trattamento dei dati, dotate di credenziali di autenticazione assegnate dall’Erogatore. Ad ogni autorizzato l’Erogatore associa individualmente una credenziale per l’autenticazione che è comunicata all’autorizzato tramite posta elet-
tronica. L’indirizzo e-mail al quale l’autorizzato riceve le credenziali de- ve essere personale e deve essere segnalato dal Responsabile della con- venzione del Fruitore nella richiesta di abilitazione.
4. Il Fruitore s’impegna a informare tutti gli Incaricati abilitati della ne- cessità di adottare le opportune cautele per assicurare la segretezza della componente riservata delle credenziali.
5. L’autorizzato, dopo il primo accesso, dovrà modificare la password generata al momento dell’accreditamento; la nuova password dovrà esse- re di minimo 10 caratteri, massimo 20 caratteri, di cui 1 carattere speciale e 2 cifre. In caso di errori in fase di inserimento della password di acces- so, dopo il quinto tentativo fallito, l’utenza verrà automaticamente disat- tivata dal Sistema. Per la riattivazione, la persona autorizzata al tratta- mento dei dati del Fruitore, la cui utenza risulta bloccata, dovrà inviare una richiesta all’indirizzo xxx@xxxxxx.xx, specificando i propri dati. A seguito della riattivazione, la persona autorizzata al trattamento dei dati
riceverà le nuove credenziali di autenticazione tramite messaggio e-mail all’indirizzo di posta elettronica personale ed istituzionale.
Non è possibile effettuare accessi contemporanei con le medesime cre- denziali.
6. Il Fruitore s’impegna a informare i soggetti abilitati ad accedere all’applicazione della presenza di un meccanismo che consente il trac- ciamento da parte dell’Erogatore degli accessi ai dati e delle operazioni eseguite da ciascun utente.
Misure di sicurezza
1. Oltre a garantire il rispetto delle misure minime di sicurezza previste dall’art. 32 del GDPR (“Sicurezza del trattamento”), l’Erogatore e il Fruitore assicurano che:
a) laddove l’accesso alla banca dati dell’Erogatore avvenga in forma di web application esposta su rete pubblica (Internet), l’applicazione sia implemen- tata con protocolli di sicurezza provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale;
b) le procedure di registrazione avvengano con il riconoscimento diretto e l’identificazione certa dell’utente;
c) le regole di gestione delle credenziali di autenticazione prevedano, in ogni caso:
- l’identificazione univoca di una persona fisica;
- processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura seguendo una procedura operativa prestabilita, o di accettazione di
forme di autenticazione forte quali quelle che prevedono l’uso combinato di one time password o di certificati di autenticazione (CNS o analoghi);
- che le credenziali siano costituite da un dispositivo in possesso ed uso esclusivo dell’autorizzato provvisto di pin o una coppia username/password, ovvero da credenziali che garantiscano analoghe condizioni di robustezza;
d) nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password:
- la password, comunicata direttamente al singolo autorizzato separatamente rispetto al codice per l’identificazione (user-id), sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi. Le ultime tre pas- sword inserite non possono essere riutilizzate;
- le password devono rispondere a requisiti di complessità (almeno dieci ca- ratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi);
- quando l’utente si allontana dal terminale, la sessione deve essere bloccata, anche attraverso eventuali meccanismi automatici di interruzione;
- le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione;
e) devono essere sempre presenti misure di protezione perimetrali logico- fisiche, quali ad esempio firewall e reti private virtuali (VPN);
f) i sistemi software, i programmi utilizzati e la protezione antivirus devono essere costantemente aggiornati sia sui server che sulle postazioni di lavoro;
g) le misure di sicurezza devono periodicamente essere riconsiderate ed ade- guate ai progressi tecnici e all’evoluzione dei rischi;
h) la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata;
i) siano introdotti meccanismi volti a permettere il controllo degli accessi al fine di garantire che avvengano nell’ambito di intervalli temporali o di data predeterminati, eventualmente definiti sulla base delle esigenze d’ufficio;
j) in caso di accessi via web deve essere di regola esclusa la possibilità di ef- fettuare accessi contemporanei con le medesime credenziali da postazioni diverse;
k) entrambi si impegnano a comunicare tempestivamente:
- incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la fruibilità di dati oggetto di convenzione;
- ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;
- ogni modificazione tecnica od organizzativa del proprio dominio, che com- porti l’impossibilità di garantire l’applicazione delle regole di sopra riportate o la loro perdita di efficacia;
l) tutte le operazioni di trattamento di dati personali effettuate dagli utenti au- torizzati, ivi comprese le utenze di tipo applicativo e sistemistico, devono es- sere adeguatamente tracciate. Al tal fine:
- il Fruitore deve fornire all’Erogatore, contestualmente ad ogni transazione effettuata, il codice identificativo dell’utenza che ha posto in essere l’operazione;
- il suddetto codice identificativo, deve essere comunque riferito univoca- mente al singolo utente autorizzato al trattamento che ha dato origine alla transazione;
- il Fruitore, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’autorizzato al trattamento direttamente identificabile), deve in ogni caso garantire anche all’Erogatore la possibilità, su richiesta, di identifi- care l’utente nei casi in cui ciò si renda necessario.
Sezione 2
Procedura
1. Per procedere alla stipula, il Fruitore deve completare in ogni sua parte la convenzione, salvare il file in formato pdf/A (in quanto formato idoneo alla conservazione a lungo termine) e inviarla, sottoscritta con firma digitale dal Legale Rappresentante, o suo delegato, a mezzo PEC all’indirizzo pubblicato sull’Indice delle Pubbliche Amministrazioni (IPA) xxxxxx.xxxxxxx@xxx.xxxxxx.xx, corredata dalla seguente documentazione:
a) modulo di accreditamento, compilato e sottoscritto dal Legale Rappresen- tante (mod. A);
b) modulo di richiesta di abilitazione delle persone autorizzate al trattamento dei dati, compilato e sottoscritto dal Responsabile della convenzione del Frui- tore (mod. B);
c) copia di un documento di identità in corso di validità e del codice fiscale dei soggetti sopra elencati;
d) copia fotostatica o scansione del documento di versamento dell’imposta di bollo di cui all’art. 12, a seguito della notifica di cui al successivo comma 2
lettera a).
2. Il Responsabile della convenzione dell’Erogatore:
a) verifica la legittimità del Fruitore ad accedere alla propria banca dati in base alla normativa vigente e alle finalità istituzionali perseguite dal Fruitore:
- in caso di esito negativo della verifica, comunica il mancato convenziona- mento con motivazione scritta mediante invio alla casella PEC del Fruitore;
- in caso di esito positivo, comunica la conformità della documentazione ri- cevuta a quanto prescritto dalla presente convenzione e/o richiede eventuali integrazioni. Ai fini della stipula definitiva, notifica inoltre la somma da ver- sare per l’assolvimento della quota di imposta di bollo a carico del Fruitore (come previsto dall’art. 12 comma 3 della presente convenzione).
Modalità di versamento
a) Girofondo sul Conto di Tesoreria Unica n. 0158598;
a titolo indicativo, ma non esaustivo: Regioni, Province, Comuni, Atenei, Asl, Scuole ecc.
b) Bonifico bancario sul conto corrente del cassiere: BANCA POPOLARE DI SONDRIO
intestato a: UNIVERSITA' DEGLI STUDI DI MILANO-BICOCCA
Xxxxxx xxxx'Xxxxxx Xxxxx 0 - 00000 Xxxxxx IBAN XX00 X000 0000 0000 0000 0000 X00
a titolo indicativo, ma non esaustivo: Ordini professionali ecc.
Causale: "(Nome Ente)-Rimborso imposta di bollo convenzione accesso ban- ca dati carriera studenti";
b) ricevuta l’attestazione del versamento dell’imposta di bollo di cui all’art.
13, comunica l’avvenuta abilitazione degli autorizzati, nonché trasmette la convenzione controfirmata dal Magnifico Rettore mediante invio alla casella PEC del Fruitore;
c) comunica le credenziali di autenticazione per l’accesso al servizio median- te un sistema sicuro basato sull’invio di e-mail per la password direttamente agli indirizzi di posta elettronica personale, istituzionale degli autorizzati del Fruitore e tramite comunicazioni telefoniche agli interessati. Tali credenziali saranno abilitate all’accesso al servizio a seguito dell’accettazione della pre- sente convenzione.
3. In caso di rinnovo entro 3 mesi dalla scadenza, il Fruitore ha l’obbligo di sottoscrivere ed inviare nuovamente il solo testo della convenzione, salvo che nel frattempo non siano intercorse modifiche nell’elenco degli autorizzati. In tal caso, è cura del Fruitore seguire le indicazioni precedentemente riportate al comma 1 della presente sezione.
Sezione 3
Informativa sul trattamento dei dati personali
La presente Informativa Le viene resa, ai sensi dell’art.13 del Regolamento UE 2016/679 sulla Protezione dei Dati, in relazione ai Suoi dati personali di cui l’Università degli Studi di Milano-Bicocca, con sede in Piazza dell’Ateneo Nuovo 1, 00000 Xxxxxx, nella persona della Rettrice prof.ssa Xxxxxxxx Xxxxxxxxxxx, suo Legale Rappresentante, in qualità di Titolare del trattamento, entrerà in possesso per effetto delle finalità di cui al punto 3.
Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applica-
te a dati personali o insiemi di dati personali, anche se non registrati in una banca di dati, come la raccolta, la registrazione, l'organizzazione, la struttura- zione, la conservazione, l’elaborazione, la selezione, il blocco, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione median- te trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distru- zione.
Il trattamento potrà essere svolto in via manuale (es: raccolta moduli cartacei) o in via elettronica o comunque con l’ausilio di strumenti informatizzati o automatizzati.
Secondo la normativa indicata, il trattamento dei Suoi dati personali sarà im- prontato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.
Le forniamo, quindi, le seguenti informazioni:
1) IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRAT- TAMENTO
xxxxxx.xxxxxxx@xxx.xxxxxx.xx.
2) DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIO- NE DEI DATI
Presso il Titolare è presente il Responsabile della Protezione dei Dati (d’ora in avanti RPD), dott.ssa Xxxxx Xxxxxxxx, nominato ai sensi dell’art. 37 del Regolamento UE 2016/679. Il RPD può essere contattato al seguente indiriz- zo di posta elettronica xxx@xxxxxx.xx o alla PEC xxx@xxx.xxxxxx.xx.
3) FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
Il Suoi dati personali saranno trattati per le seguenti finalità:
• attività connesse e strumentali alla gestione della verifica delle dichia- razioni sostitutive di certificazione e delle dichiarazioni sostitutive di atto notorio ai sensi del DPR 445/2000 e dei controlli sulla veridicità delle dichiarazioni stesse.
I trattamenti dei dati personali richiesti all’interessato sono effettuati ai sensi dell’art. 6 co. 1 del Regolamento UE 2016/679, per le finalità connesse e strumentali come sopra indicate.
4) DESTINATARI DEI DATI ED EVENTUALE TRASFERIMENTO DEI DATI VERSO PAESI TERZI E/O ORGANIZZAZIONI INTER- NAZIONALI
In tutti i casi sopra illustrati i Xxxx dati personali sono trattati dal Titolare e dai soggetti afferenti alle strutture dell’Ateneo autorizzati dal Titolare al trat- tamento in relazione alle loro funzioni e competenze.
Il Titolare potrà altresì comunicare i Xxxx dati personali all’esterno ai seguen- ti soggetti terzi, la cui attività risulta necessaria al conseguimento delle finali- tà indicate al punto 3 della presente informativa:
Cineca; SIAV Spa;
Microsoft Srl;
Soggetti privati ai quali l’Ateneo affida servizi di propria competenza in ou- tsourcing.
Non è previsto il trasferimento dei dati in territori extra-UE o ad organizza- zioni internazionali. Nel caso se ne verificasse l’esigenza, in primo luogo La informeremo aggiornando l’informativa e, nel caso in cui per il Paese di de- stinazione non sia stata emanata una decisione di adeguatezza, Le verrà ri- chiesto il consenso per procedere con il trasferimento.
5) CONFERIMENTO DEI DATI
Per le finalità indicate al punto 3, non è necessario esprimere formalmente il proprio consenso al trattamento dei dati.
Il conferimento dei Suoi dati personali è obbligatorio per le finalità di cui al punto 3. In caso di rifiuto, l’Università non potrà procedere nelle specifiche attività e assolvere le richieste avanzate.
6) PERIODO DI CONSERVAZIONE DEI DATI
I Suoi dati personali, oggetto dei trattamenti di cui al punto 3, contenuti nelle banche dati del Titolare, sono conservati illimitatamente.
Per la cancellazione dei dati relativi ai log di autenticazione, ove presenti, il
termine previsto è di 180 giorni.
La base giuridica del trattamento dei dati nell’ambito delle competenze dell’URP in relazione al trattamento di gestione delle convenzioni è rappre- sentata dalla validità temporale dell’accordo, stipulato con la parte o dell’attualità dell’autorizzazione all’accesso, di norma fino ad un massimo di 3 anni.
7) DIRITTI DELL’INTERESSATO
Si precisa che in riferimento ai Suoi dati personali, Lei è detentore dei se- guenti diritti:
• di accedere ai suoi dati personali;
• di ottenere la rettifica o la cancellazione degli stessi dati o la limita- zione del relativo trattamento;
• alla portabilità dei dati (diritto applicabile ai soli dati in formato elet- tronico), così come disciplinato dall’art. 20 del Regolamento UE 2016/679;
• di opporsi al trattamento;
• di proporre reclamo all'autorità di controllo (Garante per la protezione dei dati personali).
8) ESISTENZA DI PROCESSI DECISIONALI AUTOMATIZZATI
Per il trattamento dei dati il Titolare non utilizza processi decisionali automa- tizzati.
9) MODALITÀ DI ESERCIZIO DEI DIRITTI
Per esercitare i diritti sopra riportati potrà rivolgersi al Titolare ai seguenti indirizzi di posta elettronica xxxxxxxxx@xxxxxx.xx, xxx@xxxxxx.xx, o PEC ate-
xxx.xxxxxxx@xxx.xxxxxx.xx, xxx@xxx.xxxxxx.xx.
Il Titolare è tenuto a risponderLe entro entro 30 giorni dalla data di ricezione della richiesta, termine che può essere esteso fino a 90 giorni nel caso di par- ticolare complessità dell’istanza.
10) MISURE DI SICUREZZA
I Suoi dati saranno trattati in maniera lecita e corretta, adottando le opportune misure di sicurezza volte ad impedire accessi non autorizzati, divulgazione, modifica o distruzione non autorizzata degli stessi.
I Suoi dati saranno trattati nel rispetto di Misure di sicurezza adottate per as- sicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
11) MODIFICHE EVENTUALI ALL’INFORMATIVA
La presente Informativa è aggiornata al 01/10/2019 e potrebbe subire varia- zioni nel tempo. Si consiglia, pertanto, di verificare al seguente link xxxxx://xxx.xxxxxx.xx/xxxxxxx che la versione a cui ci si riferisce sia la più
aggiornata.