Trova in INPS

Versione Testuale

Istituto Nazionale della Previdenza Sociale

Banche dati documentali Inps Servizi Banche dati documentali

Circolare numero 123 del 10-10-2014


Attivando questo Link si puo' ricevere il documento in formato PDF

Direzione Centrale Organizzazione
Direzione Centrale Sistemi Informativi e Tecnologici
Ufficio Centrale di monitoraggio e coordinamento in materia di protezione dei dati personali e accesso alle banche dati
Roma, 10/10/2014
Circolare n. 123
Ai Dirigenti centrali e periferici
Ai Responsabili delle Agenzie
Ai Coordinatori generali, centrali e
   periferici dei Rami professionali
Al Coordinatore generale Medico legale e
   Dirigenti Medici

e, per conoscenza,

Al Commissario Straordinario
Al Presidente e ai Componenti del Consiglio di Indirizzo e Vigilanza
Al Presidente e ai Componenti del Collegio dei Sindaci
Al Magistrato della Corte dei Conti delegato all'esercizio del controllo
Ai Presidenti dei Comitati amministratori
   di fondi, gestioni e casse
Al Presidente della Commissione centrale
   per l'accertamento e la riscossione
   dei contributi agricoli unificati
Ai Presidenti dei Comitati regionali
Ai Presidenti dei Comitati provinciali
Allegati n.3
OGGETTO:

CONVENZIONE QUADRO PER LA FRUIBILITA’ TELEMATICA DELLE BANCHE DATI DELL’INPS – determina Commissariale n. 119/2014 -  Istruzioni operative

   

                                                                                     

1.  PREMESSA

 

Il D. Lgs. 7 marzo 2005, n. 82, recante il Codice dell'amministrazione digitale (CAD), detta, all’art. 50, comma 2, il principio che qualunque dato trattato da una pubblica amministrazione, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente.

 

Inoltre l’articolo 58, comma 2, del CAD prescrive, anche allo scopo di agevolare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47 del D.P.R. 445/2000, che le Amministrazioni titolari di banche dati accessibili per via telematica  predispongano, sulla base delle linee guida redatte dall’Agenzia per l’Italia Digitale, sentito il Garante per la protezione dei dati personali, apposite convenzioni aperte all’adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico.

 

In attuazione delle suddette disposizioni normative, l’Istituto, con determinazione del Commissario Straordinario n. 119 del 18 luglio 2014, ha adottato una convezione quadro per la fruibilità telematica delle banche dati dell’INPS ai sensi del citato art. 58, comma 2 del CAD.

Ha altresì disposto di delegare, alla firma della predetta convenzione, i Direttori delle sedi Regionali, in relazione al proprio ambito territoriale ed il Direttore Centrale Organizzazione relativamente  agli Enti o Amministrazioni a valenza nazionale.

La “Convenzione Quadro” (allegato 1) sarà a breve pubblicata sul sito Istituzionale ed inviata alla AGID in adempimento agli obblighi di pubblicità e trasparenza.

Unitamente alla Convenzione Quadro sarà pubblicato sul sito il “facsimile di domanda di adesione” (allegato 2), che dovrà essere utilizzato dagli Enti aderenti per l’avvio del procedimento di adesione.

 

2.   SOGGETTI DELEGATI ALLA FIRMA DELLE CONVENZIONI

 

Con la determinazione n. 119/2014, il Commissario Straordinario dell’Istituto ha delegato il Direttore Centrale organizzazione e i Direttori regionali alla firma delle convenzioni quadro, in base ai seguenti criteri di competenza:

 

-      le Direzioni regionali in sinergia con la Direzione Generale, per il tramite della Direzione Centrale organizzazione, sono competenti per l’istruttoria,  la stipula e la gestione  delle convenzioni in parola con soggetti pubblici e con soggetti privati gestori di pubblici servizi a carattere locale, rendicontando l’attività svolta alla Direzione Centrale organizzazione.

-      la Direzione Centrale Organizzazione, in sinergia con le strutture centrali di volta in volta interessate, è competente per l’istruttoria, la stipula e la gestione delle convenzioni in questione con gli altri soggetti pubblici e con soggetti privati gestori di pubblici servizi a carattere nazionale. La Direzione, inoltre, coadiuva le Direzioni regionali nelle attività di loro competenza.

 

 

3.  FIGURE DI RIFERIMENTO INTERNE DELLA CONVENZIONE

 

Da un punto di vista organizzativo sono investiti, a livello regionale, a diverso titolo e con uno specifico ruolo, le seguenti figure:

 

il Direttore regionale è delegato dal Commissario alla gestione della fase istruttoria, alla sottoscrizione delle convenzioni per adesione ed alla loro successiva gestione; il Direttore Regionale nomina il Responsabile della convenzione e del referente tecnico per la determinazione di incarico. E’ altresì responsabile delle comunicazioni all’Ente di eventuali abusi, anomalie o utilizzi non conformi ai fini istituzionali da parte degli operatori autorizzati.

 

Il Responsabile della convenzione è individuato tra i dirigenti della Direzione regionale dal Direttore regionale, e proposto per la nomina al Direttore Generale per il tramite della DC organizzazione. Tale figura cura il mantenimento e la gestione della convenzione in relazione a qualsiasi modificazione dovesse generarsi a seguito di evoluzione tecnica e funzionale dei servizi erogati. Nella fase istruttoria si occupa della verifica di legittimità sulla base della normativa vigente e delle finalità istituzionali indicate dall’Ente, sulla base dell’attività istruttoria posta in essere dai funzionari abilitati.

 

Il Referente tecnico è individuato tra i funzionari informatici della Direzione regionale, è responsabile, in sinergia con il referente tecnico dell’Ente esterno e con la Direzione Centrale Sistemi Informativi e Tecnologici, per le problematiche inerenti l’attivazione e la successiva gestione operativa dell’accesso ai dati nonché per la corretta applicazione delle regole di sicurezza tecnico-organizzative previste in convenzione.

 

Tale figura procede anche al rilascio e alla gestione delle utenze di accesso e/o dell’eventuale Amministratore Utenze esterno verificando, almeno con frequenza annuale e di concerto con l’Ente fruitore dei dati, la corretta attribuzione dei profili di autorizzazione e la correttezza nell’accesso alle banche dati dell’Istituto.

 

Gli operatori amministrativi, si occupano delle funzioni amministrative relative alla fase istruttoria e gestionale.

 

A livello Centrale la convenzione, in modo analogo, sarà sottoscritta e gestita dal Direttore Centrale dell’Organizzazione, che proporrà al Direttore Generale i nominativi del responsabile della convenzione e del responsabile tecnico, con identiche attività e figure di riferimento.

 

 

4.   FIGURE DI RIFERIMENTO ESTERNE DELLA CONVENZIONE

 

Anche l’Ente aderente dovrà nominare dei referenti per la convenzione, già nella fase di richiesta iniziale.

 

Nella domanda di adesione infatti oltre ai dati generali relativi all’Ente, alla PEC per lo scambio informazioni ed al nominativo del soggetto che sottoscriverà la convenzione, l’Ente dovrà indicare un referente per la fase istruttoria,  nonché un Responsabile della convenzione e un referente tecnico; tali due ultime figure avranno funzioni analoghe a quelle dei referenti interni, le cui mansioni sono meglio specificante nel testo della convenzione.

 

E’ inoltre prevista la nomina, da parte del rappresentante legale dell’Ente aderente, di un Supervisore, cui sono attribuite le funzioni di monitoraggio e controllo del corretto utilizzo dei servizi INPS da parte dei propri utenti abilitati ed è coinvolto nella procedura per il rilascio delle utenze e la gestione delle autorizzazioni degli utenti, con il coinvolgimento delle figure apicali degli uffici interessati.

 

Nel caso di Enti di grandi dimensioni, per i quali si prevede la necessità di un rilevante numero di utenze (allegato 3), può essere prevista la nomina di un Amministratore utenze, scelto tra i dipendenti a tempo indeterminato dell’ente, che sarà preposto alla richiesta e revoca delle autorizzazioni di accesso per gli utenti dell’Ente attraverso gli strumenti telematici messi a disposizione dall’INPS.

A discrezione dell’Ente, i ruoli di Supervisore e di Amministratore utenze possono essere svolti da un’unica persona.

 

 

5.  PROCEDURA OPERATIVA

 

Si definiscono fin d’ora le prime indicazioni in ordine agli adempimenti relativi alle singole fasi istruttorie, rinviando alle istruzioni tecniche per gli aspetti collegati all’utilizzo dell’applicativo “Portale delle convenzioni”.

 

Il percorso amministrativo, normativo e tecnico delineato prevede un iter definito, il rispetto dei tempi del procedimento e le relative sospensioni/interruzioni nei casi previsti dalla legge 241/1990, lo scambio di comunicazioni tra Enti esclusivamente tramite PEC (della struttura competente e dell’Ente aderente, così come comunicata tramite domanda di adesione).

 

Fasi del procedimento:

 

Fase 1:    Ricezione della richiesta di adesione, analisi della completezza dei dati richiesti e verifica della legittimità all’accesso alla banca dati;

Fase 2:    Completamento dell’istruttoria e perfezionamento dell’atto convenzionale;

Fase 3:    Avvio della decorrenza dell’atto ed abilitazione delle utenze.

 

Fase 1:

 

L’Ente richiedente che intende aderire alla convezione quadro, in relazione ai servizi a catalogo,  ne fa richiesta alla struttura INPS competente compilando la lettera di richiesta di adesione, pubblicata sul sito istituzionale ed inviandola alla struttura competente. La richiesta deve essere debitamente sottoscritta dal Rappresentante legale o suo delegato. In tal caso, se non allegata alla richiesta, deve essere acquisito e verificato l’atto di delega.

 

Al fine di consentire le verifiche in tal senso, è necessario che la richiesta di adesione venga inserita tempestivamente all’interno dell’apposito applicativo descritto nel successivo par. 9 “portale delle convenzioni”.

 

Considerato che le attività e i controlli previsti dalle norme a tutela dei dati personali si configurano come inderogabili, l’Istituto è tenuto, per ciascun servizio  e profilo concesso, alla verifica della sussistenza dei presupposti per la sottoscrizione delle convenzioni.

 

In tal senso, le strutture competenti dovranno procedere:

 

-      all’accertamento della base normativa che legittima il fruitore ad accedere alle banche dati, alla luce di quanto disposto dal Codice per la protezione dei dati personali. In questo ambito rilevano, in particolare, l’art. 19 per i dati personali non sensibili o giudiziari, e gli artt. 20 e 21 rispettivamente per i dati sensibili e giudiziari. L’art. 19 citato richiede che la base normativa sia costituita da una norma di legge o di regolamento; in mancanza di tale norma, la comunicazione è ammessa, ai sensi del comma 2 del medesimo articolo, quando è comunque necessaria per lo svolgimento delle funzioni istituzionali e può essere iniziata previa comunicazione al Garante. In quest’ultimo caso, la richiesta dell’Ente dovrà essere trasmessa all’Ufficio centrale per il coordinamento e il monitoraggio in materia di protezione dei dati personali e accesso alle banche dati che provvederà ad effettuare la sopracitata comunicazione al Garante.

-      al riscontro delle finalità istituzionali perseguite dall’ente fruitore con i dati personali richiesti all’INPS compresi nei servizi a catalogo e nei profili richiesti, in modo tale che il fruitore abbia accesso ai soli dati necessari rispetto a ciascuna delle finalità in concreto perseguite, nel rispetto dei principi di pertinenza e non eccedenza sanciti dall’art. 11 del Codice in materia di protezione dei dati personali.

 

Inoltre, in caso di eventuale richiesta di accesso in cooperazione applicativa, il referente tecnico, in coordinamento con la DC SIT, dovrà altresì verificare l’idoneità tecnica dell’Ente fruitore, rispetto alle finalità, alla natura e alla quantità dei dati, alle sue caratteristiche anche infrastrutturali e organizzative, al volume ed alla frequenza degli accessi.

 

Si pone in evidenza che la non corretta verifica dei citati presupposti comporta il rischio di trattamenti illeciti dei dati personali ed è pertanto sanzionabile qualora si accerti che l’accesso alle banche dati previsto dalla Convenzione non sia conforme alle norme, allorché i dati ai quali ha avuto accesso il fruitore risultino ultronei rispetto alla esigenze imposte dall’assolvimento delle concrete finalità istituzionali perseguite.

 

Al fine di omogeneizzare i comportamenti sul territorio, le domande di adesione alla Convenzione Quadro riferite ai servizi con più profili di accesso, considerata la delicatezza di tali dati personali contenuti nelle suddette banche dati, dovranno essere inviate alla Direzione Generale, per il tramite della D.C. organizzazione, per le opportune valutazioni.

In linea generale, qualora si riscontri l’assenza di dati richiesti nella domanda di adesione, ovvero gli stessi risultino insufficienti o incoerenti rispetto alle necessità di verifica sopra descritte, le strutture competenti dovranno richiedere tempestivamente all’Ente le eventuali integrazioni necessarie.

 

La fase istruttoria dovrà valutare la congruità del numero di utenze richiesto in relazione ai dati trattati e ai processi gestionali dell’ente limitando l’accesso alle banche dati al minimo numero di utenti necessari. A tal riguardo si deve fare riferimento ai valori soglia indicati nella griglia di cui all’allegato 3.

 

La durata della convenzione sarà fissata in base alla richiesta dell’Ente, nel limite massimo di 36 mesi.

 

Fase 2:

 

Al completamento dell’istruttoria dovranno essere comunicati all’Ente gli esiti delle verifiche con le seguenti modalità:

 

-      Istruttoria conclusa positivamente per tutte le richieste di servizi/ profili e numero di utenze;

-      Istruttoria conclusa positivamente per alcune richieste di servizi/ profili e/o riduzione del numero utenze concesse, in relazione alla natura e dimensioni dell’Ente, motivando le richieste non accolte;

-      Istruttoria conclusa con il rigetto della domanda, motivando dettagliatamente il provvedimento.

 

Terminato positivamente l’iter istruttorio, l’applicativo di cui al par. 9 fornisce una anteprima del testo convenzionale e dei relativi allegati, per  le valutazioni del Direttore della struttura.

 

 

Il Direttore, esaminato il documento e le risultanze istruttorie procede alla sottoscrizione con l’apposizione della firma digitale. Effettuato tale atto, l’applicativo provvederà in automatico alla trasmissione  della convenzione sottoscritta all’indirizzo PEC dell’Ente richiedente  indicato nella domanda di adesione. Le modalità di richiesta ed utilizzo della firma digitale, da parte dei Direttori, sono dettagliate nel successivo par. 9.

 

L’Ente, ricevuta la convenzione, provvederà a sua volta a sottoscriverla digitalmente, ad opera del rappresentante legale o di suo delegato, inoltrando  nuovamente il testo alla PEC della struttura INPS competente.

 

 

Fase 3:

 

La convenzione controfirmata dall’Ente dovrà essere acquisita tramite applicativo di cui al par. 9. Verificata l’integrità dell’atto e la correttezza della firma,  l’applicativo, c.d. “Portale delle convenzioni”, provvede all’attivazione della convenzione e alla contestuale notifica via PEC all’Ente. Con essa sarà trasmesso anche il modulo di richiesta utenze per i servizi online.

 

Da tale data decorre l’operatività della convenzione, che avrà durata da 3 a 36 mesi e potrà essere rinnovata su concorde volontà delle parti.

 

Il supervisore potrà richiedere l’abilitazione delle utenze al referente tecnico INPS, utilizzando la modulistica inviata. Il referente tecnico procederà alle abilitazioni secondo le consuete modalità.

 

 

6.  RICHIESTA SERVIZI NON RICOMPRESI TRA QUELLI A CATALOGO

 

Rispetto al catalogo dei servizi resi fruibili dall’Inps e riportati nell’allegato n° 2 della convenzione quadro possono essere presentate, da parte degli Enti interessati, con domanda in forma libera contenente i dati dell’Ente, eventuali ulteriori necessità di fruibilità di dati dell’Inps non riportati nel suddetto catalogo.

 

La Direzione Regionale competente, ricevuta la richiesta, previa valutazione della qualifica dell’Istituto di ente certificatore dei dati richiesti, provvede ad inoltrare la richiesta alla Direzione Generale per il tramite della DC Organizzazione, al fine di verificare la possibilità di integrazione dei nuovi servizi e la loro fattibilità.

 

Una volta comunicato l’ampliamento del catalogo servizi e la relativa pubblicazione sul sito web dell’Istituto, le Direzioni Regionali lo segnaleranno all’Ente che lo aveva richiesto, per la formulazione della relativa domanda di adesione.

 

Nel caso in cui l’Istituto non sia Ente certificatore ovvero nell’ipotesi di mancanza dei requisiti richiesti per l’accesso, l’istruttoria si conclude con il rigetto della domanda e la relativa comunicazione all’Ente da parte della Direzione regionale.

 

Anche le integrazioni dovranno essere concordate dalle parti in base ai principi stabiliti dal Codice e dagli standard di sicurezza informatica e previa verifica, da parte dell’Inps quale soggetto erogatore, della sussistenza della finalità istituzionale e della base normativa che legittima l’acquisizione delle informazioni da parte dell’Ente.

 

 

7.  FASE DI MONITORAGGIO E GESTIONE DELLA CONVENZIONE

 

La D.C. Organizzazione e le DD.RR. eseguono il monitoraggio delle convenzioni e, nel caso in cui la convenzione sia prossima alla scadenza, avviano i dovuti contatti con la controparte per l’eventuale rinnovo per il tramite del responsabile della convenzione.

 

In caso di mancato rinnovo alla scadenza delle convenzioni, le utenze abilitate ai servizi on-line ed i servizi in cooperazione applicativa verranno automaticamente disabilitati dal sistema.

 

Le suddette strutture, per il tramite delle figure preposte, provvedono altresì ai controlli periodici previsti in convenzione. Tali controlli, effettuabili anche a campione, riguardano il rispetto delle corrette modalità di accesso alle banche dati stabilite dalla Convenzione.

 

8.  SUPPORTO PER GLI OPERATORI DELLE DIREZIONI REGIONALI

 

Gli operatori delle Direzioni Regionali possono fare riferimento agli interlocutori della mail istituzionale convenzionequadrodati@inps.it che svolge una funzione di assistenza, rispondendo agli eventuali quesiti riguardanti la convenzione quadro.

 

I quesiti vanno distinti in base all’argomento (amministrativo, giuridico, tecnico). La DC Organizzazione, l’Ufficio centrale di monitoraggio e coordinamento in materia di protezione dei dati personali e accesso alle banche dati e la D.C. sistemi informativi e tecnologici garantiranno alle strutture territoriali il supporto necessario per gli argomenti di loro competenza.

 

 

9.   APPLICATIVO PER LA GESTIONE DELLE CONVENZIONI E SISTEMA PER LA FIRMA DIGITALE

 

L’attività di stipula e gestione della convenzione quadro è supportata dall’applicativo “Portale delle convenzioni” e dal “Sistema per la firma digitale remota”.

 

L’applicativo “Portale delle convenzioni” è disponibile in Intranet, alla sezione  SERVIZI > Gestione e assistenza servizi Internet > Amministrazione Convenzioni con utenti esterni. L’accesso degli utilizzatori è gestito tramite la piattaforma di Identity Management (IDM).

 

Tale applicativo, destinato al personale dell’Istituto appositamente autorizzato, consente una gestione documentale paperless in relazione all’intero processo di stipula e monitoraggio delle convenzioni per adesione.

 

Il portale delle convenzioni ha anche lo scopo di archiviare le convenzioni firmate, conservare agli atti gli originali e attivare la successiva fase di abilitazioni all’accesso degli operatori e degli enti.

 

Svolge altresì una funzione informativa e di monitoraggio sulle convenzioni vigenti con gli Enti aderenti, sui servizi abilitati e sulle figure di riferimento delle singole convenzioni.

 

Il “Sistema per la firma digitale” è integrato con il Portale e permette la firma, con validità legale, del documento di convenzione. Per poter apporre la firma digitale, il Direttore deve preventivamente essere in possesso di un certificato digitale per firma web (o firma remota). E’ possibile richiedere il certificato mediante compilazione e invio del modulo web disponibile in Intranet alla sezione DIREZIONE GENERALE > Sistemi Informativi e Tecnologici > Area Sicurezza ICT > Richiedi il Certificato di Firma Remota o il Token Portable. Successivamente, l’incaricato di registrazione di sede (IRS) provvederà al riconoscimento de visu del richiedente e avvierà il processo di generazione del certificato digitale. Al termine di questo processo, il richiedente verrà informato per email della generazione del certificato. Il richiedente dovrà procedere all’attivazione del certificato dalla pagina Intranet utilizzata per la richiesta.

Informazioni di dettaglio sono disponibili nella stessa sezione Intranet, nella pagina Firma digitale, informazioni e documenti.

 

 

10.               SERVIZIO DI CALL CENTER PER GLI OPERATORI DEGLI ENTI ADERENTI

 

E’ stato infine istituito un apposito numero verde dedicato,  gestito dal contact center multicanale, finalizzato a fornire risposte codificate alle Amministrazioni Pubbliche che intendono sottoscrivere la convenzione.

 

Gli Enti aderenti o interessati potranno porre eventuali quesiti riguardanti la convenzione quadro al contact center chiamando il numero verde 800864210, abilitato alle sole chiamate da rete fissa, che avrà cura di fornire informazioni in merito. Operatori opportunamente formati saranno a  disposizione dal lunedì al venerdì dalle ore 8 alle ore 20 e il sabato dalle ore 8 alle ore 14.

 

Gli operatori di contact center potranno inoltrare quesiti con tematiche rilevanti verso funzionari Inps della Direzioni Centrali competenti, che provvederanno a formulare le risposte.

 

 

11.  RECESSO  DALLA CONVENZIONE

 

Le strutture competenti (DC Organizzazione/Direzione Regionale) provvederanno a gestire le cause che possono comportare la chiusura anticipata della convenzione (es. recesso unilaterale per gravi inadempienze quali la mancata ottemperanza ai vincoli di accesso ai dati, disdetta della convenzione da parte dell’Inps o del soggetto aderente, il venir meno dei presupposti e dei requisiti da parte dell’Ente), ovvero a comunicare all’Ente aderente l’avvenuta scadenza, nel caso di mancata richiesta di rinnovo.

 

La DC Organizzazione o la Direzione Regionale, sentite le DC coinvolte competenti per materia, porranno quindi in essere le necessarie misure/procedure per la chiusura della convenzione dandone comunicazione all’Ente. La DC SIT provvederà alla chiusura operativa della convenzione con la disabilitazione degli accessi.

 

  Il Direttore Generale  
  Nori