Linee guida redatte dall'Agenzia perl'Italia Digitale ai sensi dell'art. 58, comma 2, del d.lg. 7 marzo 2005, n. 82(CAD)

PROVVEDIMENTO DEL 4 LUGLIO 2013

Registro dei provvedimenti
n. 332 del 4 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, della e del dott. GiuseppeBusia, segretario generale;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito Codice);

VISTAla richiesta di parere dell'Agenzia per l'Italia digitale del 6 giugno 2013sulle linee guida  redatte ai sensi dell'art. 58, comma 2, del d.lg. 7marzo 2005, n. 82;

VISTAla documentazioni in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

L'Agenziaper l'Italia Digitale, con la nota del 6 giugno 2013, ha sottoposto al Garantele linee guida redatte ai sensi dell'art. 58, comma 2, del d.lg. 7 marzo 2005,n. 82 (di seguito Cad). Tale disposizione prevede, infatti, che, "aisensi dell'articolo 50, comma 2, nonché al fine di agevolare l'acquisizioned'ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazionie dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, leAmministrazioni titolari di banche dati accessibili per via telematicapredispongono apposite convenzioni aperte all'adesione di tutte leamministrazioni interessate volte a disciplinare le modalità di accesso ai datida parte delle stesse amministrazioni procedenti, senza oneri a loro carico. Leconvenzioni valgono anche quale autorizzazione ai sensi dell'articolo 43, comma2, del citato decreto del Presidente della Repubblica n. 445 del 2000".

Nell'aprile2011, DigitPA, ora Agenzia per l'Italia Digitale, aveva pubblicato una primaversione delle predette linee guida in relazione alla quale, in collaborazionecon l'Ufficio del Garante, sono state apportate modifiche e integrazioni volte,in particolare, a migliorare gli aspetti relativi alle convenzioni che hannoper oggetto l'accesso a dati personali, ora riportate nella versione in esame.Tale nuova versione delle linee guida tiene anche conto delle recenti modifichenormative che, in particolare, hanno istituito l'Agenzia e ne hanno definito lecompetenze (d.l. 22 giugno 2012, n. 83, convertito con modificazioni con lalegge n. 134/2012) e sono intervenute in materia di pubblicità, trasparenza ediffusione di informazioni da parte delle pubbliche amministrazioni (d.lg. 14marzo 2013, n. 33).

Inparticolare, le linee guida individuano:

a.  idestinatari e il contesto, anche normativo, di riferimento (par. 3);

b.  lemodalità di raccolta e formazione dei dati, anche con riferimento ai finistatistici, in relazione a quanto previsto dalla normativa vigente in materia(par. 4);

c.  iservizi e le modalità che dovranno essere utilizzate per l'accesso ai dati dellepubbliche amministrazioni, con l'indicazione dei criteri per la definizione deilivelli di servizio che le convenzioni potranno stabilire. In tale contesto,viene data particolare attenzione ai casi in cui la convenzione abbia peroggetto l'accesso a dati personali (par. 5);

d.  lastruttura della convenzione-quadro, con l'indicazione del contenuto minimodella stessa e degli aspetti che devono essere disciplinati (par. 6);

e.  ilprocedimento e gli adempimenti connessi alla stipula della convenzione, ancheai fini delle attività di monitoraggio poste in capo all'Agenzia per l'ItaliaDigitale (par. 7).

Acompletamento delle linee guida viene riportato, in allegato alle stesse, unestratto della normativa di riferimento (all. 1), nonché i "Criteritecnici per le modalità di accesso" da prevedere nelle convenzioni, chedescrivono gli aspetti tecnici e di sicurezza delle differenti modalità diaccesso previste (all. 2).

Lelinee guida verranno adottate con determinazione del Direttore Generaledell'Agenzia per l'Italia digitale e saranno pubblicate sul sito istituzionaledell'Agenzia per l'Italia Digitale.

Viene,inoltre, previsto che l'aggiornamento delle linee guida potrà avvenire con lestesse modalità, sentito il Garante, in relazione all'evoluzione delle tecnologieed all'esigenza di introdurre ulteriori misure a garanzia della sicurezza deidati e del loro corretto trattamento.

OSSERVA:

Ilparere è reso su di una versione delle linee guida che tiene conto degliapprofondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Agenzia nel corso di riunioni e contatti informali,volti a perfezionare il testo e a rendere conformi alla disciplina in materiadi protezione dei dati personali i trattamenti ivi previsti.

Leosservazioni dell'Ufficio hanno interessato principalmente il paragrafo 5 dellelinee guida "Servizi e modalità di accesso alle banche dati", conparticolare riferimento al sotto paragrafo 5.5. dedicato agli "Aspetti diprotezione dei dati personali", nonché i paragrafi 6 e 7 relativi,rispettivamente, al "Contenuto della convenzione" e agli"Adempimenti di attuazione" che sono state integralmente recepitedall'Agenzia. Pertanto, il Garante esprime parere favorevole sulle linee guidain esame.

Inparticolare, il testo così modificato, oltre a prevedere il necessario rispettodelle misure minime previste dal Codice (art. 33), reca anche le misurenecessarie che il Garante, ai sensi dell'articolo 154, comma 1, lett. c), delCodice, ritiene di prescrivere ai destinatari delle linee guida("erogatore" e "fruitore" dei dati) al fine di ridurre alminimo i rischi di accesso non autorizzato o di trattamento non consentito onon conforme alle finalità della raccolta dei dati, anche in relazione alleconoscenze acquisite in base al progresso tecnico, alla natura dei dati e allespecifiche caratteristiche del trattamento (art. 31 del Codice).

Diconseguenza, nell'Allegato 1 alpresente provvedimento, che ne costituisce parte integrante, vengonoindividuate le misure necessarie, contenute nei corrispondenti paragrafi dellelinee guida, che l'erogatore e il fruitore dei dati sono tenuti a rispettarenel trattamento dei dati personali oggetto delle convenzioni stipulate ai sensidell'art. 58 del Cad. In caso di inosservanza delle predette misure da partedegli stessi sarà applicata la sanzione amministrativa di cui all'art. 162,comma 2-ter, del Codice.

Laddovesiano già state stipulate convenzioni ai sensi del predetto art. 58, comma 2,del Cad prima dell'adozione delle linee guida in esame da parte dell'Agenziaper l'Italia Digitale, le misure necessarie individuate nel presenteprovvedimento dovranno essere rispettate in occasione del rinnovo delleconvenzioni stesse e, comunque, entro e non oltre il 30 giugno 2014.

Restanosalve le convenzioni o le modalità di accesso alle banche dati che siano giàstate oggetto di esame da parte del Garante per la protezione dei datipersonali nell'ambito di specifici provvedimenti.

Siritiene, inoltre, necessario che l'Agenzia per l'Italia Digitale:

-   garantiscala massima conoscibilità delle misure necessarie prescritte dal Garante nelpresente provvedimento ai destinatari delle linee guida evidenziandoleopportunamente nel testo, facendo anche riferimento alle conseguenze in caso diinosservanza, consistenti nell'applicazione, da parte del Garante, dellasanzione amministrativa di cui all'art. 162, comma 2-ter, del Codice;

-   segnalial Garante le difformità relative agli aspetti di sicurezza e protezione deidati personali rilevate nell'ambito dei controlli effettuati dall'Agenziastessa sulle convenzioni-quadro ai sensi del punto 4 del paragrafo 7 dellelinee guida;

-   mettaa disposizione del Garante per via telematica, entro il 31 ottobre 2013, undocumento aggiornato contenente i dati relativi alle convenzioni individuatinello schema riportato al punto 6 del paragrafo 7 delle linee guida, anche inrelazione ai casi in cui la fruizione dei dati avvenga in modalità dicooperazione applicativa. Ciò, al fine di agevolare le procedure di controllodell'Autorità, anche in coordinamento con la medesima Agenzia.

TUTTO CIO' PREMESSO IL GARANTE:

I.ai sensi dell'articolo 154, commi 1, lett. g), e 5, del Codice, esprime parerefavorevole sulle linee guida in esame redatte dall'Agenzia per l'ItaliaDigitale ai sensi dell'art. 58, comma 2, del d.lg. 7 marzo 2005, n. 82;

II.ai sensi dell'articolo 154, comma 1, lett. c), del Codice, al fine di ridurreal minimo i rischi di accessi non autorizzati o di trattamenti non consentiti onon conformi alle finalità della raccolta dei dati, anche in relazione alleconoscenze acquisite in base al progresso tecnico, alla natura dei dati e allespecifiche caratteristiche del trattamento nell'ambito delle convenzionistipulate ai sensi dell'art. 58, comma 2 del Cad, prescrive ai destinataridelle predette linee guida di adottare le misure necessarie individuate nell'Allegato 1 al presente provvedimento, salvoche le convenzioni medesime o le modalità di accesso alle banche dati siano giàstate oggetto di esame da parte del Garante nell'ambito di specificiprovvedimenti. Laddove siano già state stipulate convenzioni ai sensi delpredetto art. 58, comma 2 del Cad, prima dell'adozione delle linee guida inesame da parte dell'Agenzia per l'Italia Digitale, le misure necessarieindividuate nel presente provvedimento dovranno essere rispettate in occasionedel rinnovo delle stesse convenzioni e, comunque, entro e non oltre il 30giugno 2014;

III.ai sensi dell'articolo 154, comma 1, lett. c), del Codice, prescrive all'Agenziaper l'Italia Digitale di:

1)    garantirela massima conoscibilità delle misure necessarie prescritte dal Garante nelpresente provvedimento ai destinatari delle linee guida evidenziandoleopportunamente nel testo, anche facendo riferimento alle conseguenze in caso diinosservanza delle stesse, consistenti nell'applicazione, da parte del Garante,della sanzione amministrativa di cui all'art. 162, comma 2-ter, del Codice;

2)    segnalareal Garante le difformità relative agli aspetti di sicurezza e protezione deidati personali rilevate nell'ambito dei controlli effettuati dall'Agenzia sulleconvenzioni-quadro ai sensi del punto 4 del paragrafo 7 delle linee guida;

3)    metterea disposizione del Garante per via telematica, entro il 31 ottobre 2013, undocumento aggiornato contenente i dati relativi alle convenzioni individuatinello schema riportato al punto 6 del paragrafo 7 delle linee guida, anche inrelazione ai casi in cui la fruizione dei dati avvenga in modalità dicooperazione applicativa.

Roma, 4luglio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia

Allegato 1

Misure necessarie

5.1 Modalità d'accesso

ä.."le pubbliche amministrazioni devono rendere conoscibili le diversetipologie di dati che possono essere fruibili da altre pubblicheamministrazioni, mediante pubblicazione sul proprio sito istituzionale delleconvenzioni-quadro volte a disciplinare le modalità di accesso ai dati.

Inproposito, tenuto conto degli obiettivi di carattere generale perseguiti dalCAD e dell'attuale quadro infrastrutturale disponibile sul territorio, siprevedono le seguenti opzioni tecniche per la fruibilità dei dati:

-   accessovia web, attraverso il sito istituzionale dell'erogatore o un sito tematicoall'uopo predisposto;

-   accessoin modalità di cooperazione applicativa, componente del sistema pubblico diconnettività finalizzata all'interazione tra i sistemi informatici delle pubblicheamministrazioni per garantire l'integrazione dei metadati, delle informazioni edei procedimenti amministrativi."ä.

5.2 Modalità d'accesso alternative e transitorie

"Fermorestando le modalità di accesso telematico definite al punto precedente, chedevono considerarsi quelle di riferimento ai fini dell'attuazione delle normein materia di fruibilità dei dati, le amministrazioni possono utilizzaremodalità alternative, laddove si presentino documentabili vantaggi economici ola situazione infrastrutturale e organizzativa non consenta l'adozione diquelle sopra riportate. Le predette circostanze devono essere adeguatamentedocumentate all'Agenzia per l'Italia Digitale e richiamate in convenzione. Intali casi, le modalità di accesso telematico prevedibili sono:

-   laposta elettronica certificata, nei casi specifici, quando la periodicità diacquisizione del dato è limitata (in linea di massima una volta all'anno omeno) e la  quantità dei dati da acquisire è contenuta;

-   soluzionidi  "Trasferimento di File" in modalità FTP "sicuro" oequivalente dal punto di vista della sicurezza del trasporto, qualorapreesistenti investimenti, la natura stessa delle richieste e le specifichecondizioni facciano propendere per tale soluzione garantendo la cifratura delcanale di trasmissione dei dati (ad esempio, utilizzando meccanismi quali lereti private virtuali)."ä.

5.5 Aspetti di protezione dei dati personali

Qualorala convenzione abbia per oggetto l'accesso a dati personali, nel trattamento ditali informazioni  l'erogatore e il fruitore sono chiamati a rispettare ledisposizioni del Codice con particolare riferimento ai presupposti chelegittimano i flussi di dati e agli adempimenti in materia di misure disicurezza.

Leconvenzioni sono lo strumento in cui stabilire le garanzie poste - anche neiconfronti dello stesso erogatore - a tutela del trattamento dei dati personalie dell'utilizzo dei sistemi informativi.

Diseguito vengono pertanto individuati misure e accorgimenti da attuare al finedi assicurare la correttezza del trattamento  e di ridurre rischinell'utilizzo dei dati personali.

Inogni caso l'erogatore, al fine di salvaguardare la sicurezza dei propri sistemiinformativi, anche in considerazione delle caratteristiche delle banche datiaccessibili attraverso la convenzione, è tenuto a valutare l'introduzione diulteriori strumenti volti a gestire i profili di autorizzazione, verificareaccessi anomali, tracciare le operazioni di accesso, ovvero individuaretassative modalità di accesso alle banche dati, dandone conto nella convenzione(art. 31 del Codice).

5.5.1 Presupposti per l'accesso alle banche dati

5.5.1.1Verifiche preliminari

L'erogatoreprima di stipulare ogni singola convenzione per l'accesso alle proprie banchedati in via telematica deve verificare:

a)    labase normativa che legittima il fruitore ad accedere alle proprie banche dati(norma di legge o di regolamento, anche ai sensi dell'art. 19, comma 2 delCodice, previa comunicazione al Garante), specie in caso di dati sensibili egiudiziari (cfr. paragrafo 5.5.3.);

b)    lafinalità istituzionale perseguita dal fruitore (ad esempio controllo sulledichiarazioni sostitutive) e la natura e la qualità dei dati richiesti,selezionando accuratamente le informazioni personali contenute nelle banche datia cui dare accesso;

c)    lamodalità telematica di accesso alle banche dati più idonea rispetto allefinalità, alla natura e alla quantità dei dati, alle caratteristiche ancheinfrastrutturali e organizzative del fruitore, al volume e alla frequenza dei trasferimenti,il numero di soggetti abilitati all'accesso.

5.5.1.2Selezione dei dati

Laselezione delle informazioni personali oggetto di accesso deve avvenire nelrispetto dei principi di pertinenza e non eccedenza in relazione a ciascunadelle finalità perseguite dal fruitore. Rispetto ad una medesima banca datidevono essere, infatti, prefigurati diversi livelli  e modalità di accessoche offrano al fruitore unicamente i dati necessari per le proprie esigenzeistituzionali.

Lemodalità di accesso alle banche dati devono essere, pertanto, configurateoffrendo un livello minimo di accesso ai dati, anche limitando i risultatidelle interrogazioni a valori di tipo booleano (ad es., web services cheforniscono un risultato di tipo vero/falso nel caso di controlli sull'esistenzao sulla correttezza di un dato oggetto di autocertificazione). Livelli diaccesso gradualmente più ampi possono essere autorizzati soltanto a fronte didocumentate esigenze del fruitore da indicare in convenzione.

»chiaro, inoltre, che per ciascun fruitore possono essere individuate piùmodalità di accesso ad una medesima banca dati in relazione alle diversefunzioni svolte dai propri operatori per il perseguimento della medesimafinalità, modulando così il livello di accesso ai dati. L'erogatore deve,infatti, far sì che sia consentita, per quanto più possibile, la segmentazionedei dati visualizzabili al fine di rendere consultabili dall'utente, anche inbase al proprio profilo e in relazione al bacino di utenza del fruitore,esclusivamente i dati necessari rispetto alle finalità in concreto perseguite.In altri termini la convenzione deve prevedere l'accesso alle sole informazionipertinenti e non eccedenti rispetto alla finalità istituzionale perseguitadalla convenzione stessa.

Particolareattenzione deve essere prestata, inoltre, nella scelta delle informazionirichieste per l'interrogazione diretta della banca dati, ovvero perl'invocazione dei web services, imponendo un set minimo di dati perl'individuazione puntuale del soggetto cui si riferiscono. Salvo eccezionirigorosamente motivate e documentate nella convenzione, la risposta fornitaall'interrogazione non deve, poi, contenere un elenco di soggetti.

5.5.1.3Elenco aggiornato

L'erogatoredeve poi disporre in ogni momento di informazioni complete e strutturate suifruitori autorizzati e sulle modalità di accesso alle proprie banche dati.

Atal fine occorre pertanto che l'erogatore rediga un documento, mantenutocostantemente aggiornato, che riporti l'elenco delle banche dati accessibili,descrivendo per ogni fruitore le informazioni di cui ai punti a), b), c), dicui al precedente paragrafo 5.5.1.1, corredato delle informazioni relative aiformati dei dati disponibili a fruitori esterni ("tracciato record",schemi XML o altri formalismi).

5.5.1.4Controlli annuali

L'erogatoredeve altresì verificare, con cadenza periodica annuale, l'attualità dellefinalità per cui ha concesso l'accesso ai fruitori, anche con riferimento alnumero di utenze attive, inibendo gli accessi (autorizzazioni o singole utenze)non conformi a quanto stabilito nelle convenzioni.

5.5.2 Soggetti incaricati del trattamento

5.5.2.1Designazione responsabili e incaricati

Pereffetto dell'esecuzione della convenzione e della conseguente comunicazione deidati personali, il fruitore, in quanto titolare del trattamento dei datioggetto di comunicazione da parte dell'erogatore, ai sensi della normativavigente in materia, deve dare attuazione a quanto previsto dagli artt. 29 e 30del Codice della privacy, in materia di designazione degli incaricati deltrattamento e eventuale designazione del responsabile del trattamento,garantendo che l'accesso ai dati sia consentito esclusivamente a tali soggetti.

Ilfruitore si impegna a comunicare all'erogatore, su richiesta motivata, l'elencodegli incaricati del trattamento autorizzati all'accesso ai dati (ad esempio,in caso di controlli sull'attualità delle utenze la cui amministrazione è demandataa gestori presso il fruitore, ovvero nel caso di cooperazione applicativa dicui al punto seguente).

Laddovei fruitori vogliano avvalersi di soggetti terzi (ad esempio, altra pubblicaamministrazione o altro soggetto ) al fine di realizzare servizi d'interscambio,previa apposita designazione dello stesso soggetto delegato come responsabileo, se persona fisica, anche incaricato del trattamento dei dati personali,devono darne comunicazione all'erogatore. Tale eventualità deve essere,naturalmente, esplicitamente riportata nella convenzione.

5.5.2.2Procedura di autenticazione e autorizzazione degli utenti

a)Accessi via web

Nelcaso in cui la modalità di accesso prescelta preveda l'attribuzione dicredenziali individuali (ad esempio, applicazione con accesso via web), leconvenzioni devono predefinire una procedura per il rilascio delle utenze e lagestione delle autorizzazioni degli utenti che coinvolga attivamente le figureapicali degli uffici interessati e un unico supervisore (soggetto giuridicamentepreposto all'individuazione degli utenti e dei profili). Il supervisore puòanche non coincidere con il soggetto tecnicamente deputato alla materialegestione delle utenze (direttamente o attraverso l'erogatore), ma deverispondere del controllo sullo stesso.

Nelcaso il sistema di accesso preveda la gestione diretta delle utenze da partedel fruitore, la convenzione deve prevedere l'individuazione di uno o piùsoggetti (coordinati tra loro) deputati alla materiale amministrazione delleutenze di coloro che sono stati autorizzati dal supervisore ad accedere allabanca dati. Tali gestori-amministratori devono essere preferibilmente sceltitra personale che abbia un rapporto stabile con il fruitore e devono essereadeguatamente formati in ordine alle modalità di accesso alla banca dati eall'attività di autorizzazione degli utenti.

Occorreinoltre che venga assicurato un flusso di comunicazione tra il supervisore, ilgestore e l'articolazione che si occupa della gestione delle risorse umane, alfine di procedere alla tempestiva revisione del profilo di abilitazione o alladisabilitazione dei soggetti preposti ad altre mansioni o che abbiano cessatoil rapporto con l'ente, anche con apposite verifiche a cadenza almenotrimestrale. Il responsabile della convenzione individuato presso il fruitoredeve effettuare periodicamente, con cadenza almeno annuale, anche incollaborazione con l'erogatore, una puntuale verifica sulla correttaattribuzione dei profili di autorizzazione e sull'attualità delle utenzeattive. Le convenzioni devono predefinire anche le soglie relative al numero diutenti abilitabili da ciascun fruitore.

L'elencodei soggetti incaricati da abilitare all'accesso alla banca dati deve essereallegato alla convenzione, ovvero comunicato entro un termine ivi stabilito, ecostantemente aggiornato dal responsabile della convenzione. Qualora lagestione degli utenti sia demandata al fruitore, la comunicazione potrà esserelimitata agli utenti cui è affidata la funzione di gestori dell'amministrazionedelle utenze.

b)Cooperazione applicativa

Iweb services devono essere integrati soltanto in applicativi che gestisconoprocedure amministrative volte al raggiungimento delle finalità istituzionaliper le quali è consentita la comunicazione delle informazioni contenute nellabanca dati. Devono essere, quindi, possibili  unicamente accessi per lefinalità per le quali è stata realizzata la convenzione alle sole informazionipertinenti e non eccedenti rispetto alla finalità istituzionale perseguitadalla convenzione.

Inogni caso, il fruitore deve garantire che i servizi resi disponibilidall'erogatore verranno esclusivamente integrati con il proprio sistemainformativo e tali servizi non saranno resi disponibili a terzi per viainformatica.

Lemodalità di accesso in cooperazione applicativa integrata negli applicativiutilizzati dal fruitore devono assicurare garanzie non inferiori a quelleindividuate nel precedente punto a) attraverso idonee policy di sicurezza deisistemi informativi dello stesso, che prevedano la presenza di una figuraapicale (anche coadiuvata da un responsabile tecnico) a garanzia del rispettodei presupposti per l'accesso stabiliti in convenzione, anche attraversoverifiche periodiche, in termini di:

-gestione delle utenze;

-profili di autorizzazione degli utenti in relazione ai dati ottenutidall'erogatore mediante la piattaforma del fruitore;

- misuredi sicurezza.

Alfine di consentire l'adeguato tracciamento delle operazioni compiute sui datipersonali, il fruitore deve fornire all'erogatore, contestualmente ad ognitransazione effettuata, il codice identificativo dell'utenza che ha posto inessere l'operazione; il suddetto codice identificativo, anche nel caso in cuil'accesso avvenga attraverso sistemi di cooperazione applicativa, deve esserecomunque riferito univocamente al singolo utente incaricato del trattamento cheha dato origine alla transazione; il fruitore, laddove vengano utilizzateutenze codificate (prive di elementi che rendano l'incaricato del trattamentodirettamente identificabile), deve in ogni caso garantire anche all'erogatorela possibilità, su richiesta, di identificare l'utente nei casi in cui ciò sirenda necessario.

5.5.2.3Istruzioni e correttezza del trattamento

Ilfruitore deve utilizzare le informazioni acquisite esclusivamente per lefinalità dichiarate in convenzione, nel rispetto dei principi di pertinenza enon eccedenza, nonché di indispensabilità, per i dati sensibili e giudiziari.

Ilfruitore deve, altresì, garantire che non si verifichino divulgazioni,comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati neicasi diversi da quelli previsti dalla legge, stabilendo le condizioni perescludere il rischio di duplicazione delle basi dati realizzata ancheattraverso l'utilizzo di strumenti automatizzati di interrogazione. A tal fineil fruitore si impegna ad utilizzare i sistemi di accesso ai dati inconsultazione on line esclusivamente secondo le modalità con cui sono statiresi disponibili e, di conseguenza, a non estrarre i dati per via automatica emassiva (attraverso ad esempio i cosiddetti "robot") allo scopo, adesempio, di velocizzare le attività e creare autonome banche dati non conformialle finalità per le quali è stato autorizzato all'accesso;

Ilfruitore deve garantire, inoltre, che l'accesso ai dati verrà consentitoesclusivamente a personale o assimilati ovvero a soggetti che siano statidesignati dal fruitore quali incaricati o responsabili del trattamento deidati, impartendo, ai sensi degli artt. 29 e 30 del Codice, precise edettagliate istruzioni, richiamando la loro attenzione sulle responsabilitàconnesse all'uso illegittimo dei dati, nonché al corretto utilizzo dellefunzionalità dei collegamenti.

5.5.3 Dati sensibili e giudiziari

Inogni caso, qualora sia indispensabile accedere a dati sensibili o giudiziari,questi devono essere opportunamente cifrati con algoritmi che garantiscanolivelli di sicurezza adeguati al contesto ai sensi dell'art. 22, comma 6, delCodice.
In considerazione della delicatezza e della quantità diinformazioni scambiate, l'erogatore deve individuare le modalità ditrasferimento dei dati sensibili e giudiziari maggiormente idonee ad assicurarela sicurezza dei collegamenti, prevedendo che in ogni caso il trasferimento deidati idonei a rivelare lo stato di salute deve essere in ogni caso cifrato.

5.5.4 Misure di sicurezza

Oltrea garantire il rispetto delle misure minime di sicurezza previste dall'artt. 33e ss. Codice e dal relativo Allegato B, al fine di adempiere agli obblighi disicurezza di cui all'art. 31 del Codice nella fruibilità dei dati oggetto dellaconvenzione (sia in caso di accessi via web che di cooperazione applicativa),l'erogatore e il fruitore devono assicurare che:

a. gliaccessi alle banche dati avvengano soltanto tramite l'uso di postazioni dilavoro connesse alla rete Ip dell'ente autorizzato e/o dotate di certificazionedigitale che identifichi univocamente la postazione di lavoro nei confrontidell'erogatore, anche attraverso procedure di accreditamento che consentano didefinire reti di accesso sicure (circuiti privati virtuali);

b.laddove l'accesso alla banca dati dell'erogatore avvenga in forma di webapplication esposta su rete pubblica (Internet), l'applicazione siaimplementata con protocolli di sicurezza provvedendo ad asseverare l'identitàdigitale dei server erogatori dei servizi tramite l'utilizzo di certificatidigitali emessi da una Certification Authority ufficiale;

c. leprocedure di registrazione avvengano con il riconoscimento diretto el'identificazione certa dell'utente;

d. leregole di gestione delle credenziali di autenticazione prevedano, in ogni caso:

Ä   l'identificazioneunivoca di una persona fisica;

Äprocessi di emissione e distribuzione delle credenziali agli utenti in manierasicura seguendo una procedura operativa prestabilita, o di accettazione diforme di autenticazione forte quali quelle che prevedono l'uso combinato di onetime password o di certificati di autenticazione (CNS o analoghi);

Ä che lecredenziali siano costituite da un dispositivo in possesso ed uso esclusivodell'incaricato provvisto di pin o una coppia username/password, ovvero dacredenziali che garantiscano analoghe condizioni di robustezza;
e. nelcaso le credenziali siano costituite da una coppia username/password, sianoadottate le seguenti politiche di gestione delle password:

Ä   lapassword, comunicata direttamente al singolo incaricato separatamente rispettoal codice per l'identificazione (user id), sia modificata dallo stesso al primoutilizzo e, successivamente, almeno ogni tre mesi e le ultime tre password nonpossano essere riutilizzate;

Ä   lepassword devono rispondere a requisiti di complessità (almeno otto caratteri,uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteriestesi);

Ä quandol'utente si allontana dal terminale, la sessione deve essere bloccata, ancheattraverso eventuali meccanismi di time-out;

Ä lecredenziali devono essere bloccate a fronte di reiterati tentativi falliti diautenticazione;

f.devono essere sempre presenti misure di protezione perimetrali logico-fisiche,quali ad esempio firewall e reti private virtuali (VPN);

g. isistemi software, i programmi utilizzati e la protezione antivirus devonoessere costantemente aggiornati sia sui server che sulle postazioni di lavoro;

h. lemisure di sicurezza devono periodicamente essere riconsiderate ed adeguate aiprogressi tecnici e all'evoluzione dei rischi;

i. laprocedura di autenticazione dell'utente deve essere protetta dal rischio diintercettazione delle credenziali da meccanismi crittografici di robustezzaadeguata;

j. sianointrodotti meccanismi volti a permettere il controllo degli accessi  alfine di garantire che avvengano nell'ambito di intervalli temporali o di datapredeterminati, eventualmente definiti sulla base delle esigenze d'ufficio;

k. incaso di accessi via web deve essere di regola esclusa la possibilità dieffettuare accessi contemporanei con le medesime credenziali da postazionidiverse;

l.entrambi  si impegnano a comunicare tempestivamente:

Ä   incidentisulla sicurezza occorsi al proprio sistema di autenticazione qualora taliincidenti abbiano impatto direttamente o indirettamente nei processi disicurezza afferenti la fruibilità di dati oggetto di convenzione;

Ä   ognieventuale esigenza di aggiornamento di stato degli utenti gestiti (nuoviinserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;

Ä   ognimodificazione tecnica od organizzativa del proprio dominio, che comportil'impossibilità di garantire l'applicazione delle regole di sopra riportate ola loro perdita di efficacia;

m.tutte le operazioni di trattamento di dati personali effettuate dagli utentiautorizzati, ivi comprese le utenze di tipo applicativo e sistemistico, devonoessere adeguatamente tracciate. Al tal fine:

Ä   ilfruitore deve fornire all'erogatore, contestualmente ad ogni transazioneeffettuata, il codice identificativo dell'utenza che ha posto in esserel'operazione;

Ä   ilsuddetto codice identificativo, anche nel caso in cui l'accesso avvengaattraverso sistemi di cooperazione applicativa, deve essere comunque riferitounivocamente al singolo utente incaricato del trattamento che ha dato originealla transazione;

Ä   ilfruitore, laddove vengano utilizzate utenze codificate (prive di elementi cherendano l'incaricato del trattamento direttamente identificabile), deve in ognicaso garantire anche all'erogatore la possibilità, su richiesta, diidentificare l'utente nei casi in cui ciò si renda necessario.

5.5.5Controlli

L'erogatoree il fruitore devono predisporre idonee procedure di audit sugli accessi allebanche dati, i cui esiti devono essere documentati secondo le modalità definitenelle convenzioni.

Inparticolare, devono essere introdotte attività di audit basate sul monitoraggiostatistico delle transazioni e su meccanismi di alert che individuinocomportamenti anomali o a rischio.

Atal fine, nelle applicazioni volte all'uso interattivo da parte di incaricatideve essere inserito un campo per l'indicazione obbligatoria del numero diriferimento della pratica (ad es. numero del protocollo o del verbale)nell'ambito della quale viene effettuata la consultazione.

Lesuddette procedure devono, inoltre, prevedere la verifica periodica, anche acampione, del rispetto dei presupposti stabiliti nelle convenzioni cheautorizzano l'accesso (quali, in particolare, la rispondenza delleinterrogazioni ad una precisa finalità amministrativa).

5.5.6Casi particolari

Comesopra ricordato, è compito dell'erogatore valutare l'introduzione di eventualiulteriori misure e accorgimenti al fine di salvaguardare la sicurezza deipropri sistemi informativi, anche in considerazione delle caratteristiche dellebanche dati accessibili attraverso la convenzione (ad esempio, delicatezza erilevanza delle informazioni accedute, rilevanti dimensioni della banca dati odel numero di utenti o volume di trasferimenti). Tali misure possono riguardare,in particolare:

-   l'individuazionedi tassative modalità di accesso alle banche dati;

-   lagestione diretta da parte dell'erogatore dei profili di abilitazione, con laconoscenza dei dati identificativi dei soggetti autorizzati all'accesso allabanca dati per la realizzazione delle finalità istituzionali dichiarate nellaconvenzione;

-   l'utilizzodi strumenti di strong authentication per l'autenticazione informatica diparticolari categorie di utenti;

-   incaso di accessi via web:

Ä   nellaprima schermata successiva al collegamento con la banca dati, sianovisualizzabili le informazioni relative all'ultima sessione effettuata con lestesse credenziali (almeno con l'indicazione di data, ora e indirizzo di reteda cui è stata effettuata la precedente connessione);

Ä   leinformazioni di cui al punto precedente devono essere riportate ancherelativamente alla sessione corrente;

-   laverifica di accessi anomali attraverso strumenti di business intelligence permonitorare gli accessi attraverso i log relativi a tutti gli attuali e futuriapplicativi utilizzati da parte dei fruitori, ovvero attraverso specificheprocedure di audit dell'erogatore presso il fruitore.

7. Adempimenti di attuazione

Leamministrazioni titolari di banche dati accessibili per via telematicapredispongono sulla base delle presenti linee guida convenzioni-quadro aperteall'adesione delle amministrazioni interessate.

Inrelazione a tale adempimento procedurale possono prevedersi, in linea generale,i seguenti casi:

a)la convenzione ha per oggetto l'accesso a dati personali, secondo quantoprevisto dall'articolo 4, lett. b), del D. Lgs. 30 giugno 2003, n. 196; inquesto caso, l'adempimento in parola può ritenersi soddisfatto esclusivamente acondizione che la convenzione sia redatta conformemente alle presenti lineeguida.

b)la convenzione ha per oggetto l'accesso a altre tipologie di dati, nonrientranti nell'ambito di applicazione del D. Lgs. 30 giugno 2003, n. 196; intale situazione, naturalmente, non è necessario dare corso al suddettoadempimento.

Inrelazione a quanto sopra, l'erogatore dovrà in ogni caso evidenziare  laprocedura di riferimento adottata. A tal fine la convenzione stessa conterràuna esplicita "autocertificazione" di conformità alle presenti lineeguida.

Diversamente,nel caso in cui una convenzione, ovvero le modalità di accesso ad unadeterminata banca dati, siano già state oggetto di esame da parte del Garanteper la protezione dei dati personali nell'ambito di specifici procedimenti, laconvenzione stessa conterrà l'indicazione del parere o del provvedimento delGarante.

Comeprevisto dal successivo comma 3 dello stesso articolo 58, l'Agenzia perl'Italia Digitale provvede al monitoraggio in merito alla concreta attuazionedella norma in questione, riferendo annualmente con apposita relazione alMinistro per la Pubblica amministrazione e alla Commissione  per lavalutazione, la trasparenza e l'integrità della amministrazioni pubbliche.

Nelrichiamare l'attenzione in merito a quanto disposto dall'art. 12, co. 1-ter edall'art. 52, co. 4, del CAD in merito alla concreta attuazione delledisposizioni di cui trattasi e della conseguente rilevanza ai fini dellamisurazione e valutazione della performance dirigenziale, si riassumono diseguito i passi fondamentali per l'attuazione della norma stessa:

1.ogni Amministrazione deve individuare le banche dati che possono essere oggettodi convenzione ai sensi dell'art. 58, CAD;

2.la stessa amministrazione, in qualità di erogatore, predispone lo schema diconvenzione-quadro per ogni singola banca dati seguendo le indicazionicontenute nelle presenti linee guida, nel rispetto, in particolare, degliaspetti di sicurezza e privacy, riportati nel par. 5;

3.come sopra riportato, la convenzione conterrà l'autocertificazione della pienaconformità della convenzione stessa alle presenti linee guida, ovverol'indicazione del parere o del provvedimento del Garante per la protezione deidati personali;

4.l'erogatore provvede a pubblicare detta convenzione-quadro nel proprio sitoistituzionale, nella sezione "Amministrazione trasparente" seguendola struttura definita dal D. Lgs. n. 33/2013, riportata nel par. 4, dandone comunicazione via PEC (protocollo@pec.agid.gov.it) all'Agenzia perl'Italia Digitale. La stessa Agenzia potrà effettuare controlli a campionesulle convenzioni-quadro dichiarate conformi alle presenti linee guida al finedi verificarne eventuali difformità, segnalandole all'erogatore. Se talidifformità sono relative agli aspetti di sicurezza e privacy, esse sarannonotificate dall'Agenzia anche al Garante per la protezione dei dati personaliper i successivi adempimenti. Restano ferme le eventuali prescrizioni ad hocdel Garante e gli eventuali controlli operati dal Garante stesso ai sensi delD. Lgs. n. 196/2003;

5.in relazione alle esigenze istituzionali dei potenziali fruitori e allaaccertata sussistenza della base normativa che legittima tali esigenze,l'erogatore e il fruitore procedono alla stipula della convenzione;

6.l'erogatore comunica ufficialmente all'Agenzia per l'Italia Digitale (tramiteprotocollo telematico attraverso la casella PEC censita nell'indice delle PA) l'avvenuta stipula della convenzione, ai fini di quanto previsto dall'art. 58,comma 3, CAD. In particolare, per ogni convenzione stipulata l'erogatore dovràfornire le seguenti informazioni come riportato nel seguente schema:

Talecomunicazione non è necessaria nei casi in cui la fruizione dei dati avvenga inmodalità di cooperazione applicativa. In questo caso utilizzando i serviziprevisti dal DPCM 1 aprile 2008 recante "Regole tecniche e di sicurezzaper il funzionamento del Sistema pubblico di connettività", taleadempimento sarà soddisfatto attraverso la pubblicazione dell'accordo diservizio nel registro SICA (Servizi infrastrutturali di interoperabilità,cooperazione e accesso).