SCHEMA DI ACCORDO DI COLLABORAZIONE PER LO SVOLGIMENTO DELLA FUNZIONE DI CONSERVAZIONE DEI DOCUMENTI INFORMATICI PER GLI ENTI COLLOCATI FUORI DAL TERRITORIO DELLA REGIONE EMILIA-ROMAGNA.
SCHEMA DI ACCORDO DI COLLABORAZIONE PER LO SVOLGIMENTO DELLA FUNZIONE DI CONSERVAZIONE DEI DOCUMENTI INFORMATICI PER GLI ENTI COLLOCATI FUORI DAL TERRITORIO DELLA REGIONE XXXXXX-ROMAGNA.
(ADOTTATO CON DELIBERAZIONE DELLA GIUNTA REGIONALE N. 161 DELL’8 FEBBRAIO 2021)
Tra
1. la Città metropolitana di Roma Capitale, P.IVA 06214441005 – C.F. 80034390585 in persona di …………, domiciliata per la carica presso la sede della Città metropolitana di Roma Capitale posta in Xxxx - Xxx XX Xxxxxxxx x. 000/X. (di seguito anche denominato “Ente produttore”) il/la quale interviene nel presente atto in forza di………………………, esecutiva ai sensi di legge, con il quale si è approvato il presente Accordo di collaborazione
e
2. La Regione Xxxxxx-Romagna, (di seguito Regione) con sede in Bologna, Xxxxx Xxxx Xxxx, 00, C.F. 800.625.903.79, rappresentata per la sottoscrizione del presente atto Direttore Generale Risorse, Europa, Innovazione e Istituzioni, Xxxx. Xxxxxxxxx Xxxxxxx Xxxxxx, il quale interviene in forza della deliberazione della Giunta regionale n. 161 dell’8 febbraio 2021, esecutiva ai sensi di legge,
PREMESSO CHE
1) l'archivio costituisce un bene culturale di interesse pubblico e la conservazione dei documenti e degli archivi nella loro organicità rappresenta una funzione di carattere istituzionale ed un precetto normativo, come risulta in particolare dalle seguenti leggi:
˗ D.P.R. 28 dicembre 2000, n. 445 recante "Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa" e s.m.i.;
˗ Decreto Legislativo 22 gennaio 2004, n. 42 recante “Codice dei beni culturali e
del paesaggio” e s.m.i;
˗ Decreto Legislativo 7 marzo 2005, n. 82 recante "Codice dell'Amministrazione digitale" (CAD) e s.m.i e relative Regole Tecniche e Linee Guida e disposizioni attuative;
2) l'art. 34, comma 1-bis del D. Lgs. n. 82/2005 (CAD) dispone che “Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: (A) all'interno della propria struttura organizzativa oppure (B) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l'AgID;
3) i Piani Triennali per l’informatica nella P.A. (2017-2019 approvato con DPCM 31 maggio 2017, 2019-2021 approvato con DPCM 26 giugno 2019 e per il triennio 2020-2022 approvato con D.P.C.M. del 17 luglio 2020) dispongono, tra l’altro:
a. che le Pubbliche Amministrazioni conservino a norma i propri documenti informatici e relative aggregazioni, tramite anche accordi di collaborazione tra amministrazioni per la condivisione di infrastrutture comuni dedicate alla conservazione o adesione ai servizi offerti da poli di conservazione;
b. la conservazione digitale si realizza attraverso il ricorso a conservatori accreditati da AGID;
c. la strategia della trasformazione digitale della pubblica amministrazione deve avvenire secondo il principio del “cloud first” secondo il modello cloud definito;
4) la Legge Regionale 26 novembre 2020, n. 7 rubricata “Riordino istituzionale e dell'esercizio delle funzioni regionali nel settore del patrimonio culturale. Abrogazione delle leggi regionali 10 aprile 1995, n. 29 e 1° dicembre 1998, n. 40 e modifica di leggi regionali”, che all’art. 2 della citata L.R. n. 7/2020 ha stabilito:
˗ al comma 1 che dal 1° gennaio 2021 sono riassunti in capo alla Regione i compiti
e le attribuzioni esercitati dall’Istituto dei beni artistici, culturali e naturali della Regione Xxxxxx-Romagna (IBACN), riordinato con L.R. del 10 aprile 1995, n.29. Dalla medesima data l’IBACN cessa di svolgere ogni attività che non sia finalizzata o strumentale alla soppressione dell’Istituto;
˗ al comma 5 che dal 1° gennaio 2021 la Regione subentra nei rapporti attivi e passivi dell’IBACN afferenti alle funzioni di archiviazione e conservazione digitale dei documenti informatici;
5) con Legge Regionale 24 maggio 2004, n. 11 recante “Sviluppo regionale della società dell’informazione”, così come modificata dalla suddetta L.R. n. 7/2020:
˗ all’art. 2, comma 4 bis, si è disposto che “La Regione, anche in collaborazione con le altre pubbliche amministrazioni interessate, favorisce altresì lo sviluppo integrato della conservazione digitale dei documenti informatici e, nel rispetto dei principi di efficacia, efficienza ed economicità, svolge con le modalità previste dalle disposizioni vigenti, le funzioni di archiviazione e conservazione digitale dei documenti informatici, anche a rilevanza fiscale, prodotti o ricevuti dalla Regione e dagli altri soggetti di cui all'art. 19, comma 5, lettera
a) nonchè, mediante apposita convenzione, anche a titolo oneroso, dei documenti informatici prodotti o ricevuti dai soggetti di cui all'art. 19, comma 5, lettera
b) e da altri soggetti pubblici";
˗ all'art. 19, comma 5, sono stati individuati i seguenti soggetti rilevanti ai sensi del soprarichiamato art. 2 comma 4 bis, della L.R. n. 11/2004:
˗ lettera a): la Regione, gli enti e gli organismi regionali, le loro associazioni e consorzi, quali le agenzie, le aziende e gli istituti, anche autonomi, nonché gli enti e le aziende del Servizio sanitario regionale, ed inoltre gli organismi di diritto pubblico e le società
strumentali partecipate in misura totalitaria o maggioritaria dai soggetti di cui alla presente lettera;
˗ lettera b): gli Enti locali, i loro enti ed organismi, le loro associazioni, unioni e consorzi, quali le aziende e gli istituti, anche autonomi, le istituzioni, gli organismi di diritto pubblico e le società strumentali partecipate in misura totalitaria o maggioritaria da tali soggetti, ed inoltre gli istituti di istruzione scolastica e universitaria presenti e operanti nel territorio regionale;
6) per la definizione dei “soggetti pubblici” di cui al citato art. 2, comma 4 bis, della
L.R. n. 11/2004 si rimanda a quanto specificato dall’art. 2, comma 2, del D. Lgs. n. 82/2004 e s.m.i.;
7) con deliberazione di Giunta Regionale del 28 dicembre 2020, n. 2013 recante “Indirizzi organizzativi per il consolidamento e il potenziamento delle capacità amministrative dell'Ente per il conseguimento degli obiettivi del programma di mandato, per far fronte alla programmazione comunitaria 2021/2027 e primo adeguamento delle strutture regionali conseguenti alla soppressione dell'IBACN” è stata, tra l’altro, disposta la riallocazione del Servizio Polo Archivistico Regionale nell'ambito della Direzione Generale Risorse, Europa, Innovazione e Istituzioni, provvedendo allo stesso tempo a modificarne sia la declaratoria sia la denominazione in Servizio Polo Archivistico dell’Xxxxxx-Romagna;
8) dalla declaratoria relativa al Servizio Polo Archivistico dell’Xxxxxx-Romagna di cui all’Allegato B) alla citata deliberazione n. 2013/2020 risulta l’attribuzione a detta struttura organizzativa dello svolgimento dei processi di conservazione e di riversamento sostitutivi dei documenti informatici della Regione e degli altri Enti convenzionati e il compito di promuovere l'adesione degli Enti del sistema regionale e di altri Enti e istituzioni di cui all'art. 19, comma 5, della L.R. n. 11/2004, nonché di supportare
l'azione dei responsabili del protocollo informatico presso gli Enti produttori per la messa a punto degli strumenti archivistici, organizzativi e software per le esigenze di produzione e conservazione dei documenti informatici, anche per l'adeguamento al sistema di conservazione digitale;
9) con determina AgiD n. 589/2020 recante “Accreditamento della Regione Xxxxxx-Romagna in qualità di conservatore dei documenti informatici e cessazione dell’accreditamento dell’IBACN a seguito della Legge Regionale 26 novembre 2020, n. 7 di riordino istituzionale e dell’esercizio delle funzioni regionali nel settore del patrimonio culturale” è stato disposto l’accreditamento e l’iscrizione nell’elenco dei conservatori accreditati a decorrere dal 1° gennaio 2021 della Regione Xxxxxx-Romagna e la cessazione dell’accreditamento e la conseguente cancellazione dall’elenco dei conservatori accreditati dell’IBACN dalla medesima data;
10) la Regione Xxxxxx-Romagna, in forza dell’accreditamento e l’iscrizione nell’elenco dei conservatori accreditati di cui all’art. 29 del Decreto Legislativo n. 82/2005:
˗ è soggetto pubblico che svolge attività di conservazione dei documenti informatici ed iscritto nell’elenco dei conservatori accreditati pubblicato sul sito dell’Agenzia per l’Italia Digitale;
˗ è qualificata come fornitore di servizi SAAS in qualità di CSP sul "Catalogo dei servizi cloud qualificati per la PA (cloud marketplace nazionale)" per i servizi offerti dal Polo archivistico ed ha acquisito le certificazioni UNI EN ISO 9001:2015 (Qualità) per il perimetro della conservazione digitale, ISO/IEC 27017:2015 (Sicurezza per i servizi in cloud) e ISO/IEC 27018:2019 (Protezione delle informazioni personali), ed esteso la certificazione ISO/IEC 27001:2013 (Sicurezza);
˗ è pertanto in grado, relativamente ai servizi offerti dal Servizio Polo
Archivistico dell’Xxxxxx-Romagna, di fornire garanzie sufficienti volte a mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dati rispetti i requisiti previsti dalle vigenti disposizioni in materia (GDPR –
D. Lgs. 196/2003 e successive modifiche) ed assicuri la tutela degli interessati;
VISTI
˗ l’art. 15, comma 1, della Legge 7 agosto 1990, n. 241 e successive modifiche ed integrazioni”, il quale prevede che le pubbliche amministrazioni possano utilizzare lo strumento della convenzione per finalità di reciproca collaborazione, su attività di interesse comune nel perseguimento del fine pubblico;
˗ il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR) ed il D. Lgs. n. 196/2003 come novellato dal D. Lgs. n. 101/2018 e, in particolare:
˗ l'art. 2 sexies, comma 2, lett. cc) in forza del quale si considera rilevante l'interesse pubblico (art. 9, paragrafo 2, lett. j) del GDPR) relativo a trattamenti effettuati ai fini di archiviazione nel pubblico interesse concernenti la conservazione, l'ordinamento e la comunicazione di documenti detenuti negli archivi storici degli enti pubblici;
˗ gli artt. 97 e 99 che consentono il trattamento dei dati personali ai fini di archiviazione nel pubblico interesse (art. 89 del GDPR) mediante deroghe sia rispetto ai tempi di trattamento [...anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati], sia in ordine ai diritti di cui agli artt. 15, 16, 18, 19,
20 e 21 del GDPR, previa adozione di misure tecniche ed organizzative al fine di garantire il rispetto del principio della minimizzazione dei dati;
˗ il nulla osta espresso dalla Soprintendenza Archivistica territorialmente competente
alla stipula dell’Accordo di collaborazione di cui trattasi per la conservazione dei documenti informatici dell’Ente produttore e al trasferimento dei documenti ai sensi dell’art. 21 lettera e) del D. Lgs. n. 42/2004 (Codice dei Beni Culturali e del Paesaggio);
CONSIDERATO
˗ che l'Ente produttore è da tempo impegnato nella progressiva digitalizzazione dei documenti e intende organizzare in modo efficace e a lungo termine la loro conservazione, ma ritiene non economico dotarsi autonomamente delle complesse strutture per una conservazione a lungo termine dei documenti informatici;
˗ è pertanto interesse dell'Ente produttore avvalersi della Regione Xxxxxx-Romagna, tramite il Servizio Polo Archivistico, per la conservazione digitale dei documenti, quale soggetto in grado di fornire idonee garanzie di sicurezza ed efficacia e che dispone della strumentazione tecnica necessaria e di personale adeguato allo scopo, stipulando apposito Accordo di collaborazione ai sensi dell'art. 15, comma 1, della Legge 7 agosto 1990, n. 241 e s.m.i e dell’art. 2, comma 4 bis, della Legge Regionale n. 11/2004 e s.m.i.
Tutto ciò premesso e considerato, costituente parte integrante del presente Accordo, si conviene e si stipula quanto segue:
Art. 1 (Xxxxxxx e finalità dell’accordo)
1. L’Ente produttore affida alla Regione la conservazione dei propri documenti informatici e delle loro aggregazioni documentali informatiche con i metadati a essi associati, individuandolo ai sensi dell’art. 34, comma 1 bis, lett. a) del D. Lgs. n. 82/2005 quale soggetto pubblico accreditato da AGID a svolgere l’attività di conservazione;
2. L’attività di conservazione svolta dalla Regione si ispira ai principi indicati dall’art. 29 del D. Lgs. n. 42/2004 e s.m.i di coerente, coordinata e programmata
attività di studio, prevenzione e manutenzione, e si ritiene in grado di soddisfare gli obblighi in capo all’Ente produttore di conservazione di documenti informatici e, in prospettiva, di conservazione e ordinamento dell’archivio nella sua organicità
3. Le parti intendono attuare una collaborazione concreta e nell’interesse comune, che porti a un risparmio dei costi di gestione, a garantire economicità, efficienza ed efficacia alla funzione di conservazione dei documenti informatici, a un aumento della quantità, qualità e fruibilità dei servizi, a un aumento del livello di sicurezza attuato nella elaborazione di dati ed informazioni e concordano di sviluppare e gestire nelle forme della cooperazione orizzontale l’attività di potenziamento dell’attuale sistema di conservazione digitale della Regione, con applicazione, anche con modalità sperimentali, alla conservazione dei documenti digitali e delle aggregazioni archivistiche gestite dall'Ente produttore.
Art. 2 (Obblighi delle Parti)
1. La Regione tramite il Servizio Polo Archivistico dell'Xxxxxx-Romagna, si impegna alla conservazione dei documenti trasferiti e ne assume la responsabilità della conservazione, ai sensi della normativa vigente e del Manuale di Conservazione redatto dalla Regione medesima, pubblicato sul sito dell’Agenzia per l’Italia Digitale nell'elenco dei conservatori accreditati, garantendo il rispetto dei requisiti previsti dalle norme in vigore nel tempo per i sistemi di conservazione.
2. L'Ente produttore si impegna a depositare i documenti informatici e le loro aggregazioni nei modi e nelle forme definite dalla Regione, tramite il Servizio Polo Archivistico dell'Xxxxxx-Romagna, garantendone l’autenticità e l’integrità nelle fasi di produzione e di archiviazione corrente, effettuata nel rispetto delle norme sulla produzione e sui sistemi di gestione dei documenti informatici. In particolare, garantisce che il trasferimento dei documenti informatici venga realizzato utilizzando formati
compatibili con la funzione di conservazione e rispondenti a quanto previsto dalla normativa vigente.
3. Le modalità di erogazione delle funzioni di conservazione e le specifiche tecniche di versamento e restituzione dei documenti, che costituiscono la configurazione dell'archivio digitale dell'Ente produttore, saranno rese disponibili tramite il sistema di conservazione in specifici Disciplinari Tecnici.
4. L'Ente produttore mantiene la titolarità e la proprietà dei documenti depositati.
Art. 3 (Funzioni svolte dalla Regione)
1. Le funzioni svolte dalla Regione tramite il Servizio Polo Archivistico dell'Xxxxxx- Romagna riguardano la conservazione digitale, la restituzione per la consultazione o l’esibizione dei documenti a fini di accesso o per scopi storici, ed il supporto tecnico- archivistico in merito all'utilizzo del proprio sistema di conservazione.
2. Le funzioni di conservazione digitale e di restituzione dei documenti a fini di esibizione, accesso e ricerca saranno erogate in base al Manuale di Conservazione redatto dalla Regione, verificato dalla Soprintendenza Archivistica per l’Xxxxxx-Romagna per quanto concerne il rispetto della normativa sulla tutela degli archivi e dei singoli documenti come beni culturali, e pubblicato sul sito istituzionale dell’Agenzia per l’Italia Digitale AGID nell’elenco dei conservatori accreditati, che l’Ente produttore dichiara di conoscere ed accettare.
3. La Regione tramite il Servizio Polo Archivistico dell'Xxxxxx-Romagna, si impegna:
˗ a adeguare il servizio di conservazione alle future modifiche normative;
˗ alla conservazione dei documenti informatici e delle aggregazioni depositati dall’Ente produttore e ne assume la responsabilità della conservazione, ai sensi della normativa vigente e del Manuale di conservazione, garantendo il rispetto dei requisiti previsti dalle norme in vigore per i sistemi di conservazione.
Rimane in ogni caso inteso che il sistema di conservazione della Regione è finalizzato alla conservazione dal momento della presa in carico di quanto depositato e opportunamente corredato da metadati, assicurando il mantenimento nel tempo della sua autenticità, integrità, affidabilità, leggibilità, reperibilità, accessibilità, riproducibilità e intelligibilità nel contesto proprio di produzione e gestione e preservando il vincolo originario tra i documenti informatici depositati, così da custodire l’archivio digitale nella sua organicità.
4. La Regione, tramite il Servizio Polo Archivistico dell'Xxxxxx-Romagna, garantisce l’esibizione, in ogni momento, dei documenti informatici e delle aggregazioni di dati depositati dall’Ente produttore e delle relative evidenze informatiche che comprovano la loro corretta conservazione, fornendo in tal modo gli elementi necessari per valutare l’autenticità e la validità giuridica di quanto custodito.
5. La Regione, all’atto della cessazione del presente Accordo per scadenza naturale o per cessazione anticipata, si impegna a restituire i documenti informatici ed eventuali loro aggregazioni, con i metadati associati e con tutte le evidenze informatiche relative ai processi di conservazione svolti e fino ad allora custoditi nel proprio sistema di conservazione, secondo modalità operative e tempi opportunamente concordati.
Art. 4 (Funzioni svolte dall'Ente produttore)
1. Le funzioni svolte dall'Ente produttore sono le seguenti:
a) condividere con la Regione le proprie conoscenze in materia di gestione documentale, l’esperienza in materia di dematerializzazione dei processi, le conoscenze acquisite nell’ambito della formazione e gestione dei documenti informatici;
b) eseguire il monitoraggio dei propri versamenti, provvedendo altresì a segnalare
tempestivamente alla Regione, tramite il Servizio Polo Archivistico dell'Xxxxxx- Romagna, gli eventuali malfunzionamenti e le proposte di miglioramento del sistema medesimo;
c) provvedere, sotto il profilo organizzativo, tecnico e gestionale, ad assicurare l’interfacciamento e il collegamento dei propri sistemi versanti con il sistema di conservazione digitale dei documenti informatici gestito dalla Regione tramite il Servizio Polo Archivistico dell'Xxxxxx-Romagna.
2. L’Ente produttore manterrà la responsabilità esclusiva in merito alla corretta formazione dei documenti informatici oggetto di conservazione, garantendone il valore giuridico.
Art. 5 (Accesso ai documenti conservati presso il ParER)
1. L’accesso ai documenti conservati presso la Regione avviene con i medesimi tempi e modalità previsti per i documenti gestiti presso l’Ente Produttore, che mantiene la responsabilità del procedimento ai sensi del regolamento adottato per l’accesso ai documenti amministrativi e delle norme sull’accesso vigenti nel tempo.
2. Possono essere stipulati appositi accordi operativi fra i responsabili dei due Enti per definire con maggior dettaglio modalità e obblighi reciproci, in particolare per quanto riguarda l’eventuale produzione di copie conformi cartacee, nel rispetto del principio per cui la copia conforme cartacea viene effettuata, se richiesta, dal soggetto che stampa il documento cartaceo traendolo dall'originale informatico.
Art. 6 (Strumenti di consultazione e controllo)
1. La Regione consente all’Ente produttore l’accesso ai propri sistemi per verificare il corretto svolgimento dell’attività di conservazione e per consultare ed eventualmente estrarre i documenti depositati e le prove di conservazione, secondo le modalità previste nel Disciplinare Tecnico e/o nel Manuale di Conservazione.
2. L’Ente produttore concorda con la Regione i nominativi e le funzioni del personale afferente all'organizzazione dell'Ente produttore abilitato allo svolgimento della funzione di cui al comma precedente, seguendo le procedure definite dal Servizio Polo Archivistico dell'Xxxxxx-Romagna per l’abilitazione e gestione degli utenti del sistema di conservazione.
3. Gli utenti del sistema saranno indicati nel Disciplinare Tecnico, che conterrà inoltre l'individuazione dei referenti e responsabili di riferimento delle Parti per la nomina di tali utenti e per lo svolgimento delle attività di versamento e monitoraggio, oltre che per le fasi iniziali di test, propedeutiche all’effettiva attivazione delle funzioni di conservazione per i documenti di volta in volta identificati.
4. La Regione consente alla Soprintendenza Archivistica e bibliografica dell’Xxxxxx- Romagna l’accesso ai propri sistemi per rendere possibile e operativo lo svolgimento della funzione di vigilanza e tutela prevista dalla legge ed effettuare le opportune verifiche sul corretto svolgimento dell’attività di conservazione.
Art. 7 (Oneri a carico delle Parti)
1. Le Parti si danno reciprocamente atto che dallo svolgimento delle attività congiunte derivano a carico della Regione oneri sopportati a esclusivo interesse dell’altra parte.
2. A mero titolo di rimborso delle spese sostenute per lo svolgimento delle funzioni oggetto del presente Accordo di collaborazione, l’Ente Produttore si impegna a erogare alla Regione gli importi corrispondenti al mero reintegro dei costi vivi sopportati e specificamente imputabili alle voci di costo indicate nell’allegato 1 “Calcolo del rimborso costi” parte integrante del presente Accordo.
3. L’importo previsto ai fini del rimborso delle spese sostenute ai sensi del comma precedente dovrà essere corrisposto a consuntivo dall’Ente produttore alla Xxxxxxx xxx
xxxxx xxx xxxxx xxxxxxxxx dell’anno successivo alla data di effettiva attivazione delle funzioni di conservazione dei documenti informatici e per ogni anno successivo di vigenza del presente Accordo di collaborazione. Nel caso di servizi attivati in corso d’anno, i costi a rimborso saranno quantificati in relazione alle effettive mensilità di erogazione del servizio.
4. L’importo di cui al precedente comma 3 potrà essere aggiornato in accordo tra le Parti qualora la quantità di oggetti in conservazione si discosti significativamente nel tempo da quanto previsto nel predetto allegato 1.
5. L’Ente Produttore inoltre sosterrà tutti i costi di collegamento e di interfacciamento dei propri sistemi versanti con il sistema di conservazione digitale dei documenti informatici, gestito dalla Regione tramite il Servizio Polo Archivistico dell'Xxxxxx- Romagna.
Art. 8 (Trattamento dei dati personali)
1. L'Ente produttore è titolare del trattamento dei dati personali contenuti nei documenti dallo stesso prodotti. Al fine di consentire l'erogazione delle funzioni regolate dal presente Accordo, l'Ente produttore designa la Regione quale responsabile del trattamento dei dati personali necessari all'esecuzione del presente accordo ed al compimento degli atti conseguenti, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR). A tal fine la Regione definisce e adotta le misure di sicurezza tecniche e organizzative a tutela dei dati personali che tratterà in esecuzione del presente accordo.
2. In materia di protezione dei dati personali le Parti accettano e si impegnano ad osservare, con riferimento alle prescrizioni ed alle istruzioni a ciascuna relative, quanto stabilito nell'Allegato A al presente accordo, di cui costituisce parte integrante e sostanziale
3. Alla scadenza dell'accordo, ovvero nell'ipotesi di cessazione anticipata di una delle parti o al termine, per qualsivoglia causa, di validità dello stesso, la designazione decade automaticamente.
4. Alla scadenza naturale del presente Accordo o alla sua conclusione anticipata a seguito di cessazione anticipata, la Regione tramite il Servizio Polo Archivistico dell'Xxxxxx- Romagna, solo al termine della restituzione dei documenti conservati e solo dopo le opportune verifiche sulla sua corretta esecuzione - effettuate da entrambe le Parti e svolte di concerto tra le stesse – provvederà alla cancellazione dal proprio sistema di conservazione di tutti i documenti informatici e di tutte le aggregazioni di dati precedentemente depositati dall’Ente produttore, provvedendo a dare apposita comunicazione formale in tal senso. Fino alla data di tale comunicazione la Regione continuerà ad operare come responsabile del trattamento secondo quanto previsto dal presente Articolo.
Art. 9 (Decorrenza e durata dell'Accordo)
1. La durata del presente accordo è stabilita in tre anni decorrenti dalla data della sua sottoscrizione.
2. Ai sensi dell’art. 15, comma 2-bis, della Legge n. 241/90 e secondo le modalità previste dal D.lgs. n. 82/2005 il presente accordo si considera sottoscritto dalla data di registrazione nel repertorio della Regione (RPI) dell'originale dell'atto completo delle firme digitali delle due parti.
3. Si dà reciprocamente atto che nel periodo intercorrente tra la scadenza del precedente accordo sottoscritto tra le Parti e la decorrenza del nuovo, i servizi di conservazione sono stati erogati per continuità amministrativa anche al fine di garantire l’ininterrotta custodia dei documenti digitali, nelle more dell’approvazione ad opera delle Parti di tutti gli atti necessari per la stipula e la repertoriazione del presente
atto.
4. Le date di effettiva attivazione delle funzioni di conservazione delle varie tipologie di documenti informatici verranno definite in accordo tra i referenti e responsabili di riferimento dei due enti, dopo una fase di avvio finalizzata a definire i parametri di configurazioni del sistema di conservazione, i tempi e le modalità di versamento e per testare le funzionalità dei sistemi versanti, e saranno di volta in volta indicate nel Disciplinare Tecnico.
Art. 10 (Cessazione anticipata)
1. Qualora, per sopravvenuti motivi di pubblico interesse, ovvero nel caso di mutamento della situazione di fatto non prevedibile al momento della sottoscrizione, ovvero di nuova valutazione dell'interesse pubblico originario, è possibile, per ciascuna delle parti, la cessazione anticipata del presente accordo ai sensi dell’art. 21-quinquies della Legge 241/1990.
2. La cessazione anticipata dovrà essere comunicata per le vie formali e avrà effetto decorsi 3 mesi dalla comunicazione, a garanzia dell’indispensabile continuità delle attività oggetto del presente Accordo.
3. Nell’ipotesi di cessazione anticipata, da parte dell’Ente Produttore sarà dovuto alla Regione il rimborso delle spese effettivamente sostenute fino al momento della cessazione effettiva.
Art. 11 (Controversie)
1. Per ogni controversia in qualsiasi modo inerente al presente Accordo di collaborazione e che non possa essere composta in via amichevole tra le Parti è competente il Foro di Bologna.
Art. 12 (Disposizioni di rinvio)
1. Per quanto non previsto nel presente accordo di collaborazione potrà rinviarsi alle
norme del Codice Civile applicabili ed alle specifiche normative vigenti nelle materie oggetto dell’accordo.
2. Eventuali modifiche al presente accordo potranno essere apportate dall'Ente produttore e dalla Regione soltanto con atti aventi le medesime formalità del medesimo.
Art. 13 (Disposizioni fiscali)
1. In ordine alla disciplina sull'imposta di bollo si richiama il D.P.R. 26 ottobre 1972,
n. 642 e s.m.i.
2. Il presente accordo sarà registrato solo in caso di uso ai sensi del D.P.R. 26 aprile 1986, n. 131 e successive modificazioni e integrazioni, a cura e spese della parte richiedente.
*****
Xxxxx, approvato e sottoscritto
L'Ente produttore La Regione
(firmato digitalmente) (firmato digitalmente)
Allegato A)
Schema di Accordo per il trattamento di dati personali
Il presente Accordo costituisce allegato parte integrante dell’Accordo avente ad oggetto la conservazione degli oggetti digitali versati dall'Ente produttore, stipulata/o tra quest'ultimo e la Regione, la quale viene a tal fine designata Responsabile del trattamento di dati personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito anche GDPR).
1. Premesse
(A) Il presente Accordo si compone delle clausole di seguito rappresentate e dal Glossario Le Parti convengono quanto segue
2. Trattamento dei dati nel rispetto delle istruzioni dell’Ente produttore
2.1 - Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Ente produttore garantisce che:
2.1.1 - tratta tali Dati personali solo ai fini di archiviazione nel pubblico interesse degli oggetti digitali versati in conservazione in esecuzione all’Accordo o Convenzione stipulata con l’Ente produttore; gli oggetti digitali versati possono essere utilizzati anche in ambiente di test per consentire lo sviluppo del sistema di conservazione e la correzione di eventuali malfunzionamenti;
2.1.2 - non comunica i Dati personali a soggetti terzi, salvo i casi in cui ciò si renda necessario per adempiere quanto disciplinato nell’Accordo o Convenzione stipulata con l’Ente produttore;
2.1.3 - non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Ente produttore, neanche per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 - prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente produttore se, a suo parere, una qualsiasi istruzione fornita dall’Ente produttore si ponga in violazione di Normativa applicabile;
2.2 - Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 - procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente produttore dagli interessati relativamente ai loro dati personali;
2.2.2 - procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente produttore dei dati personali di ogni interessato;
2.2.3 - procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente produttore, nei limiti di cui all'art. 17, paragrafo 3, lettera d) e secondo le deroghe dell'art. 89, paragrafo 3, del GDPR;
2.2.4 - procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Ente produttore.
2.3 - Il Responsabile del trattamento deve garantire e fornire all’Ente produttore cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dallo stesso, per consentirgli di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.4 - Il Responsabile del trattamento, nel rispetto di quanto previsto all’art. 30, 2° comma del Regolamento, deve compilare, tenere aggiornato e, ove richiesto dal Garante per la protezione dei dati personali, esibire un registro delle attività di trattamento svolte per conto dell’Ente produttore, che riporti tutte le informazioni richieste dalla norma citata.
2.5 - Il Responsabile del trattamento assicura la massima collaborazione al fine dello svolgimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente produttore intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 - Il Responsabile del trattamento adotta e mantiene appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 - In relazione alla criticità correlata al trattamento in questione il Responsabile del trattamento effettua la valutazione di impatto ai sensi dell’art. 35 del Regolamento.
3.3 - Il Responsabile del trattamento conserva direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema (outsourcing).
3.4 - L’Ente produttore attribuisce al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, con riferimento alla verifica dell'operato degli amministratori di sistema afferenti all'organizzazione del Responsabile del trattamento.
3.5 - Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare, con specifico riferimento alle misure intese a prevenire
l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
3.6 - Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile dichiara di essere inserito nell’elenco dei conservatori accreditati da Agid che attesta il possesso di idonee garanzie organizzative e tecnologiche di protezione dei dati personali.
3.7 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy dell’Ente in materia di privacy e sicurezza informatica.
4. Analisi dei rischi, privacy by design e privacy by default
4.1 - Il Responsabile del trattamento adotta, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.2 - In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
5. Soggetti autorizzati ad effettuare i trattamenti – Designazione
5.1 - Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Ente produttore.
5.2 - Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
5.3 - Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nell’Accordo o Convenzione di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
5.4 - L’Ente produttore provvede in autonomia e sotto la propria responsabilità a designare quali persone autorizzate al trattamento i dipendenti e i collaboratori afferenti alla sua organizzazione che possono avere accesso agli oggetti digitali conservati dal Responsabile del trattamento. Inoltre, l’Ente produttore si impegna a fornire ai propri dipendenti e collaboratori adeguate informazioni relative al trattamento dei loro dati, in particolare con riferimento all’attività di registrazione e trattamento dei log prodotti ogniqualvolta che questi ultimi accedano o modifichino i documenti oggetto di conservazione digitale secondo quanto indicato nell’Accordo o Convenzione stipulata con l’Ente produttore.
5.5 - L’Ente produttore garantisce che i propri dipendenti e collaboratori ricevano la necessaria formazione in materia di protezione dei dati personali, provvedendo altresì a fornire loro istruzioni, sovrintendere e vigilare sull’attuazione delle istruzioni impartite ai fini e nei limiti dell’esecuzione delle attività di trattamento indicate nel presente atto e nell’Accordo o Convenzione.
6. Sub-Responsabili del trattamento di dati personali
6.1 - Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 - In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Ente produttore per qualsiasi violazione od omissione realizzati da un Sub- Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 - L’Ente produttore non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 - Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione e alla cancellazione dei dati personali trattati al termine della prestazione di servizi oggetto dell’Accordo o Convenzione, secondo le modalità e termini descritti nell’Accordo medesimo e nel Manuale di Conservazione.
9. Audit
9.1 - Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Ente produttore.
9.2 - L’Ente produttore può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli obblighi di cui alla Normativa applicabile e al presente Accordo.
9.3 - L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
9.4 - L'Ente produttore ha facoltà di vigilare, anche tramite ispezioni e verifiche periodiche, sulla puntuale osservanza delle prescrizioni impartite al Responsabile del trattamento nel presente Accordo, nel rispetto delle seguenti condizioni concordate tra le Parti:
˗ preavviso di almeno cinque giorni lavorativi;
˗ frequenza annuale in caso di data breach oppure quando richiesto da pubbliche autorità;
˗ in correlazione alla struttura organizzativa del Responsabile del trattamento l'effettuazione di dette ispezioni/verifiche potrà avvenire dal lunedì al venerdì dalle ore 9,00 alle ore 17,00.
10. Indagini dell’Autorità e reclami
10.1 - Nei limiti della normativa applicabile, il Responsabile del trattamento informa entro la giornata lavorativa successiva l’Ente produttore di qualsiasi:
- richiesta o comunicazione promanante dal Garante per la protezione dei dati personali
o da forze dell’ordine;
- istanza ricevuta da soggetti interessati.
Il Responsabile del trattamento fornisce, in esecuzione dell’Accordo/Convenzione e, quindi, gratuitamente, tutta la dovuta assistenza all’Ente produttore per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 - Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata all’Ente produttore nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano
riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
11.2 - Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Ente produttore ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Ente produttore, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente produttore.
12. Responsabilità e manleve
12.1 - Il Responsabile del trattamento tiene indenne e manleva l’Ente produttore da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 - Nel caso in cui il Responsabile del trattamento commetta violazioni della normativa in materia di protezione dei dati personali e di quanto stabilito nel presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Ente produttore può recedere dall’Accordo o Convenzione.
12.3 - A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
- avverte prontamente ed in forma scritta, l’Ente produttore del Reclamo;
- non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente produttore;
- non transige la controversia senza il previo consenso scritto dell’Ente produttore;
- fornisce all’Ente produttore tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
* * *
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento (UE) 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera
circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento (UE) 2016/679 (GDPR), il d.lgs. 30 giugno 2003,
n. 196 s.m.i. (“Codice in materia di protezione dei dati personali”) ed ogni provvedimento del Garante per la protezione dei dati personali, del WP Art. 29 e del Comitato europeo per la protezione dei dati;
“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo; “Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; “Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile
Xxxxx, approvato e sottoscritto.
L'Ente produttore La Regione
(firmato digitalmente) (firmato digitalmente)