Messaggio INPS In vigore
Messaggio INPS 4461/2023

Convenzione quadro tra l’INPS e i Comuni per l’istituzione di un “Punto Utente Evoluto INPS” presso i Comuni
Pubblicato: 13/12/2023 In vigore dal: 13/12/2023 Documento ufficiale
Riferimento normativo

Convenzione quadro tra l’INPS e i Comuni per l’istituzione di un “Punto Utente Evoluto INPS” presso i Comuni
Testo normativo

Direzione Centrale Organizzazione
Direzione Centrale Tecnologia, Informatica e Innovazione
Il Referente PNRR
Roma, 14-12-2023
Messaggio n. 4461
Allegati n.1
OGGETTO: Convenzione quadro tra l’INPS e i Comuni per l’istituzione di un
“Punto Utente Evoluto INPS” presso i Comuni
1. Premessa
Con il messaggio n. 4579 del 20 dicembre 2022 è stata avviata la sperimentazione del Punto
Utente Evoluto (PUE) presso alcuni Comuni delle Regioni Calabria ed Emilia-Romagna.
Il PUE[1] è uno sportello telematico dell’INPS, attivato presso i Comuni, tramite il quale
l’utente entra in contatto con un operatore dell’INPS in modalità web meeting per accedere ai
servizi erogati dall’Istituto.
Il monitoraggio dei web meeting, attivati nel corso della sperimentazione, ha registrato un
apprezzamento dell’iniziativa da parte dell’utenza dei Comuni coinvolti.
Pertanto, in linea con quanto previsto nel citato messaggio n. 4579/2022, è stata definita la
Convenzione quadro per l’istituzione dei PUE presso i Comuni che manifesteranno interesse.
La Convenzione quadro è stata adottata con la determinazione del Commissario straordinario
n. 83 del 23 novembre 2023 (Allegato n. 1), ed è stata predisposta sulla base dei protocolli
sperimentali e dell’esperienza maturata nel corso della sperimentazione.
2. Attivazione della Convenzione quadro
La Convenzione quadro sarà resa disponibile entro il mese di gennaio 2024 tramite il “Sistema
gestionale delle convenzioni”, accessibile dalla rete intranet al seguente percorso: “Servizi” >
“Gestione e assistenza sui servizi Internet” > “Sistema gestionale delle convenzioni”.
I Direttori regionali e di coordinamento metropolitano sono delegati alla sottoscrizione delle
singole convenzioni con i Comuni che insistono nel territorio di competenza. Le singole
convenzioni devono essere conformi allo schema adottato con la determinazione commissariale
n. 83/2023.
Si richiamano di seguito gli aspetti rilevanti della Convenzione quadro, con particolare
riferimento alle finalità e agli impegni delle Parti.
3. La Convenzione quadro tra l’INPS e i Comuni per l’istituzione di un “Punto Utente
Evoluto INPS” presso i Comuni
La Convenzione ha lo scopo di assicurare la più ampia accessibilità ai servizi INPS da parte
degli utenti, valorizzando le sinergie tra l’Istituto e i Comuni. Tramite il PUE, infatti, l’INPS
istituisce un punto di accesso presso i locali del Comune dove l’utente può recarsi per entrare
in contatto con un operatore INPS, in modalità web meeting. Ciò permette di agevolare
l’accesso ai servizi e alle prestazioni INPS, anche laddove l’Istituto non sia fisicamente
presente o esista una diffusa incidenza del digital divide.
Il Comune provvede ad allestire un’apposita postazione, in un locale adeguato allo svolgimento
del web meeting, e fornisce la strumentazione necessaria (computer, stampante, ecc.). L’INPS,
invece, si impegna ad assicurare agli operatori del Comune un servizio di consulenza telefonica
per l'espletamento dei compiti connessi al funzionamento del PUE e a mettere a disposizione
del materiale informativo.
L’utente accede al web meeting su apposita richiesta rivolta al Comune, secondo il modello
allegato alla Convenzione quadro; è previsto anche l’accesso al web meeting per delega del
diretto interessato.
L’operatore del Comune, profilato e autorizzato al trattamento dei dati personali, accede al
servizio attraverso il sottoportale “Inps e i Comuni”, utilizzando le credenziali SPID almeno di
II livello, CIE o CNS, strettamente personali, opportunamente profilate come “Comune”, e
abilitate al servizio PUE dall'INPS per gli operatori espressamente indicati dall’“Amministratore
Utenze”.
La prenotazione allo sportello, tramite web meeting, è effettuata dall’operatore del Comune
per mezzo della piattaforma “Gestione sportelli”. La prenotazione riguarda la Struttura
territorialmente competente, in relazione agli utenti residenti o domiciliati nel Comune presso il
quale è istituito il PUE, o anche il Polo nazionale competente per la prestazione richiesta.
L’operatore del Comune fornisce all’utente il supporto per l’accesso al web meeting. Se
richiesto dall’utente, è previsto anche il supporto dello stesso operatore nel corso del web
meeting per la trasmissione o la stampa di documentazione oppure qualsiasi analoga
interazione.
Per la corretta applicazione della Convenzione, ciascuna delle Parti individua un proprio
“Referente” che ha il compito di monitorare l’andamento della collaborazione e di segnalare
eventuali criticità che possono manifestarsi nella sua attuazione.
Il Comune, inoltre, nomina tra i propri dipendenti un “Amministratore utenze”, con il compito,
tra l’altro, di monitorare e controllare il corretto utilizzo dei servizi INPS da parte degli
operatori autorizzati. Inoltre, è compito del citato “Amministratore utenze” revocare le
autorizzazioni al venire meno delle condizioni che ne hanno determinato la concessione.
Eventuali modifiche dei nominativi e dei recapiti delle figure di riferimento potranno essere
effettuate dalle Parti con scambio di comunicazioni a mezzo Posta Elettronica Certificata (PEC).
Il costo relativo al consumo di energia elettrica e di tutte le altre spese dirette e indirette
connesse alla realizzazione del web meeting presso il PUE sono a carico del Comune.
Le modalità di accesso e svolgimento del web meeting devono essere svolte nel rispetto delle
norme in materia di sicurezza ICT, e del Regolamento (UE) 2016/679 e del decreto legislativo
30 giugno 2003, n. 196, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, e
dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre
2021, n. 205, in materia di protezione dei dati personali.
Il Direttore Generale
Vincenzo Caridi
[1] Il PUE rientra nelle iniziative per lo sviluppo del "Modello di servizio dell’INPS" nella
modalità “Servito” e contribuisce al processo di trasformazione digitale orientato all’attuazione
di un modello utente-centrico, finanziato con le risorse del PNRR, finalizzato all’attivazione di
sportelli telematici evoluti che consentono la gestione dell'informazione e l'erogazione dei
servizi collocati presso locali diversi dalle Strutture territoriali INPS, con supporto di personale
di altre pubbliche Amministrazioni in convenzione.

ALLEGATO 1
ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE
DETERMINAZIONE N. 83 DEL 23 novembre 2023
Oggetto: Convenzione Quadro tra l’INPS e i Comuni per l’istituzione di un
“Punto Utente Evoluto INPS” presso i Comuni.
IL COMMISSARIO STRAORDINARIO
Visto il D.P.R. 30 aprile 1970, n. 639;
Vista la Legge 9 marzo 1989, n. 88;
Visto il Decreto Legislativo del 30 giugno 1994, n. 479;
Visto il D.P.R. 24 settembre 1997, n. 366;
Visto il decreto-legge 10 maggio 2023, n. 51 ”Disposizioni urgenti in materia
di amministrazione di enti pubblici, di termini legislativi e di iniziative di
solidarietà sociale”, convertito, con modificazioni, dalla legge 3 luglio 2023,
n. 87, e in particolare l’art. 1, comma 2;
Visto il D.P.C.M. del 15 giugno 2023 con cui la dott.ssa Micaela Gelera è stata
nominata Commissario straordinario dell’Istituto, con i poteri di ordinaria e
straordinaria amministrazione attribuiti al Presidente e al Consiglio di
amministrazione ai sensi della vigente disciplina;
Visto il D.M. dell’11 febbraio 2022 di nomina del Direttore generale
dell'Istituto Nazionale della Previdenza Sociale;
Visto il Regolamento di Organizzazione dell’Istituto, adottato con
deliberazione del Consiglio di Amministrazione n. 4 del 6 maggio 2020, da
ultimo modificato con determinazione commissariale n. 49 del 14 settembre
2023, in particolare, l’articolo 5 afferente ai poteri del Consiglio di
Amministrazione;
Visto l’Ordinamento delle funzioni centrali e territoriali dell’INPS, adottato
con deliberazione del Consiglio di Amministrazione n. 137 del 7 settembre
2022;
Il Commissario Straordinario
88
Visto l'articolo 15, comma 1, della legge 7 agosto 1990, n. 241 che consente
alle Amministrazioni Pubbliche di concludere accordi per disciplinare lo
svolgimento in collaborazione di attività di interesse comune;
Visto il decreto legislativo 7 marzo 2005, n. 82 “Codice dell’amministrazione
digitale” che disciplina l’uso delle tecnologie dell’informazione e della
comunicazione per la realizzazione degli obiettivi di efficienza, efficacia,
economicità, imparzialità, trasparenza e semplificazione, propri delle
Pubbliche Amministrazioni;
Considerato che l'INPS persegue l’obiettivo di assicurare all’utenza ampia
accessibilità ai propri servizi anche mediante la valorizzazione di sinergie con
altre Pubbliche Amministrazioni;
Visti il Piano strategico digitale 2020-22 di cui alla deliberazione del Consiglio
di Amministrazione n. 89 del 27 novembre 2020 e il Piano strategico digitale
ICT 2022-2024 di cui alla deliberazione del Consiglio di Amministrazione n.
124 del 20 luglio 2022, in cui sono previsti specifici interventi per lo sviluppo
del "Modello di servizio dell’INPS" nelle tre diverse modalità: Self, Servito e
Intermediato;
Preso atto che, nell’ambito dei progetti posti in essere dall’Istituto e
finanziati con le risorse del Piano Nazionale di Ripresa e Resilienza per il
completamento del processo di trasformazione digitale dell’Inps, è previsto il
progetto “PNRR 67 - Sportello Telematico Evoluto” finalizzato all’attivazione,
presso altre pubbliche amministrazioni, di ulteriori punti di accesso telematici
che consentono la gestione dell'informazione e l'erogazione dei servizi con il
supporto del personale di dette amministrazioni in convenzione;
Atteso che i Comuni costituiscono una rete capillare sul territorio, attraverso
la quale l’Istituto può soddisfare in condizioni di effettiva prossimità le istanze
dell’utenza impossibilitata ad accedere agli strumenti informatici;
Rilevato che, in fase di attuazione del citato progetto PNRR 67 “Sportello
Telematico Evoluto”, l’Istituto ha attivato, in via sperimentale, presso i locali
di alcuni Comuni delle regioni Calabria ed Emilia-Romagna, uno sportello
telematico denominato “Punto Utente Evoluto”, tramite il quale l’utente entra
in contatto con un funzionario dell’INPS in modalità “web meeting”, con il
supporto di un operatore del Comune aderente, appositamente autorizzato
dal Comune medesimo;
Atteso che, a seguito degli esiti positivi della sperimentazione, l’Istituto ha
predisposto lo schema di Convenzione quadro in oggetto ai fini
dell’attivazione del “Punto Utente Evoluto” presso i Comuni che ne facciano
richiesta;
Preso atto che la Convenzione quadro prevede che siano a carico del
Comune richiedente il costo relativo al consumo di energia elettrica e tutte le
altre spese dirette ed indirette connesse alla realizzazione del “web meeting”;
Preso atto che la Convenzione quadro ha durata di tre anni decorrenti dalla
data di sottoscrizione e può essere rinnovata su concorde volontà delle Parti
espressa attraverso scambio di Posta Elettronica Certificata, da manifestarsi
almeno sei mesi prima della scadenza e che le Parti si riservano la facoltà di
recedere anticipatamente dalla Convenzione, mediante preavviso di sei mesi
da effettuarsi a mezzo posta elettronica certificata;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio
del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei
dati);
Visto il “Codice in materia di protezione dei dati personali”, decreto legislativo
30 giugno 2003, n. 196, come integrato e modificato dal decreto legislativo
10 agosto 2018, n. 101 e dal decreto-legge 8 ottobre 2021, n. 139,
convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205;
Visto il parere fornito nell’ambito dei compiti di informazione e consulenza
dal Responsabile della protezione dei dati dell’Istituto ai sensi dell’art. 39, del
Regolamento (UE) 2016/679;
Vista la relazione della Direzione Generale;
Su proposta del Direttore generale
DETERMINA
di adottare l’allegato schema di Convenzione Quadro tra l’INPS e i Comuni
per l’istituzione di un “Punto Utente Evoluto INPS” presso i Comuni, che
costituisce parte integrante della presente determinazione.
I Direttori regionali e i Direttori di coordinamento metropolitano
sottoscriveranno, in nome e per conto dell’Istituto, le singole convenzioni
conformi allo schema adottato.
IL COMMISSARIO STRAORDINARIO
Micaela Gelera
Convenzione Quadro tra l’INPS e i Comuni per l'istituzione di
un Punto Utente Evoluto INPS presso i Comuni
L'Istituto Nazionale della Previdenza Sociale (di seguito “INPS”), con
sede in Roma, via Ciro il Grande n. 21, C.F 80078750587, rappresentato dal
…………………………… giusta determinazione commissariale n. …… del
………………………………;
e
Il Comune (di seguito “Ente”) ……………………………………… con sede
in……………………………………………, C.F.……………………………………… rappresentato dal dott.
……………………………………………
di seguito indicate congiuntamente anche “le Parti”
VISTO
l'articolo 15, comma 1, della legge 7 agosto 1990, n. 241, che consente
­
alle Amministrazioni Pubbliche di concludere tra loro accordi per
disciplinare lo svolgimento in collaborazione di attività di interesse comune
da sottoscrivere, a pena di nullità degli stessi, con firma digitale ovvero
elettronica a norma del comma 2-bis, dello stesso articolo;
quanto previsto dal decreto legislativo 7 marzo 2005, n. 82 “Codice
­
dell’amministrazione digitale” (CAD) circa l’uso delle tecnologie
dell’informazione e della comunicazione per la realizzazione degli obiettivi
di efficienza, efficacia, economicità, imparzialità, trasparenza e
semplificazione propri delle Pubbliche Amministrazioni;
il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del
­
27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione di tali dati
(Regolamento generale sulla protezione dei dati);
il “Codice in materia di protezione dei dati personali”, decreto legislativo
­
30 giugno 2003, n. 196, così come integrato e modificato dal decreto
legislativo 10 agosto 2018, n. 101, e dal decreto-legge 8 ottobre 2021, n.
139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205;
PREMESSO CHE
l'INPS persegue l’obiettivo di assicurare la più ampia accessibilità ai propri
servizi da parte degli utenti anche valorizzando le sinergie con altre Pubbliche
Amministrazioni;
l’INPS, nell’ambito delle iniziative volte a garantire la massima fruibilità di
servizi e prestazioni, mette in campo progetti e soluzioni orientati ad
assicurare la sua prossimità agli utenti anche ampliando i punti di accesso ai
propri servizi mediante l’utilizzo del canale telematico oggi fondamentale per
la fornitura al cittadino utente delle comunicazioni e certificazioni istituzionali;
il Punto Utente Evoluto (di seguito “PUE”) è uno sportello telematico
dell’INPS, attivabile presso i locali dei Comuni interessati, tramite il quale
l’utente entra in contatto con un funzionario dell’INPS in modalità “web
meeting” per usufruire dei servizi erogati dall’Istituto con il supporto di un
funzionario appositamente autorizzato dal Comune aderente;
nell’ambito della presente Convenzione si intende per:
 “PUE”: il Punto Utente Evoluto come sopra descritto;
 “Web meeting”: servizio che consente il confronto con il funzionario
INPS per mezzo di videochiamata su piattaforma Microsoft Teams, con
possibilità di scambio di documentazione ove necessario;
 “Regolamento UE”: Regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio del 27 aprile 2016;
 “Codice”: il “Codice in materia di protezione dei dati personali”, decreto
legislativo 30 giugno 2003, n. 196, così come integrato e modificato
dal decreto legislativo 10 agosto 2018, n. 101, e dal decreto-legge 8
ottobre 2021, n. 139 convertito, con modificazioni, dalla legge 3
dicembre 2021, n. 205;
 “CAD”: il Codice dell’Amministrazione Digitale di cui al Decreto
Legislativo del 7 marzo 2005, n. 82 e successive modificazioni ed
integrazioni ad opera dei decreti legislativi 22 agosto 2016, n. 176 e 13
dicembre 2017, n. 217;
 “Operatore”/”Responsabile”: soggetto autorizzato dall’Ente a compiere
operazioni di trattamento dei dati personali ai sensi degli artt. 29 e 4,
n. 10, del Regolamento UE e dell’art. 2-quaterdecies del Codice;
 “Utente”: l’utente dell’INPS che si rivolge al PUE;
 “Titolare del trattamento dei dati”: è l’INPS che, ai sensi dell’art. 24 del
Regolamento, determina le finalità e i mezzi del trattamento dei dati
personali oggetto della Convenzione;
 “Responsabile del trattamento dei dati personali”: è l’Ente che,
designato dal Titolare ai sensi dell’art. 28 del Regolamento UE, svolge
il trattamento dei dati personali oggetto della Convenzione attenendosi
alle istruzioni ricevute;
tanto visto e premesso, le Parti convengono quanto segue:
Articolo 1
Istituzione di un “Punto Utente Evoluto”
1. Al fine di ampliare le modalità di accesso ai servizi da parte degli utenti,
l’INPS istituisce un PUE presso il Comune ……………………………………………
tramite il quale l’utente, entrando in contatto direttamente con un
funzionario dell’Istituto in modalità “web meeting”, può usufruire dei
servizi erogati dall’INPS.
2. L’Ente provvederà ad allestire apposita postazione, in un locale
adeguato allo svolgimento del “web meeting”, fornirà la strumentazione
necessaria (computer, stampante ecc.) e supporterà l’utente, nella
prenotazione e durante il “web meeting”, con un proprio Operatore
profilato come indicato nell’art. 7.
Articolo 2
Accesso dell’utente al PUE
1. L’utente che intende accedere al servizio di “web meeting” deve
presentare all’Ente specifica richiesta, secondo il modulo allegato
(allegato 1), debitamente sottoscritta, unitamente alla copia del proprio
documento di riconoscimento. La richiesta contiene in calce
l’informativa, resa ai sensi dell’art. 13 del Regolamento UE, che descrive
il trattamento dei dati effettuato dall’INPS, anche per il tramite del
Responsabile del trattamento, come designato ai sensi dell’art. 28 del
citato Regolamento UE. La richiesta deve contenere i dati anagrafici
dell’interessato nonché l’indicazione del/i servizio/i per il/i quale/i è
presentata l’istanza.
2. Nel caso di delega devono essere presentati dall’utente del PUE anche
l’atto di delega e copia del documento del delegante, ove non sia già
presente nei sistemi INPS la delega dell’identità digitale. In tal caso il
delegato deve presentare solo il proprio documento di identità.
3. La verifica dell’esistenza di una delega sarà effettuata dal funzionario
INPS all’atto dell’avvio del “web meeting”.
4. I richiedenti devono essere identificati a cura dell’Operatore che curerà
la conservazione degli atti ricevuti per l’attivazione del servizio per
almeno 48 mesi adottando misure tese a impedire l’accessibilità di
estranei agli atti medesimi.
Articolo 3
Attivazione del canale sportello telematico INPS a cura
dell’Operatore dell’Ente
1. L’Operatore, identificato l’utente ed acquisita agli atti la documentazione
di cui all’art. 2, provvederà ad effettuare la prenotazione del “web
meeting” e ne darà comunicazione all’utente.
La prenotazione sarà effettuata tramite la piattaforma “Gestione
Sportelli” del sito Internet dell’INPS, nel giorno ed orario disponibile sulla
piattaforma suddetta.
2. All’Operatore è consentita la prenotazione esclusivamente a fronte di
apposita istanza dell’utente. La prenotazione riguarda la/le sede/i
territorialmente competente/i, in relazione agli utenti residenti o
domiciliati nel comune presso il quale è istituito il PUE, ovvero anche il/i
Polo/i nazionale/i di competenza per la prestazione richiesta.
3. Il giorno fissato per l’appuntamento l’Operatore, dopo avere identificato
l’utente, accederà con le proprie credenziali SPID/CIE/CNS alla sessione
di “web meeting”.
Qualora richiesto, l’Operatore potrà fornire supporto tecnico all’utente.
In particolare, nel caso in cui venga prevista la trasmissione e/o la
stampa di documentazione o qualsiasi analoga interazione, queste
saranno effettuate direttamente dall’Operatore con le proprie credenziali
SPID/CIE/CNS. L’Operatore, ove necessario, attesterà la conformità
all’originale della documentazione suddetta.
In caso contrario, appena effettuato l’accesso al “web meeting”, e
comunque dopo aver fornito il supporto tecnico, l’Operatore procederà
al logout della sessione già avviata, lasciando l’utente in collegamento
con il funzionario dell’INPS in apposita separata sessione.
4. I documenti visualizzati o stampati nel corso del “web meeting”
dovranno essere cancellati o consegnati integralmente dall’Operatore
all’utente al termine del medesimo “web meeting”.
Articolo 4
Referenti
1. Per la corretta applicazione di quanto previsto nella presente
Convenzione, ciascuna delle Parti individua un proprio Referente
(allegato 2) che avrà il compito di monitorare l’andamento della
collaborazione e segnalare eventuali criticità che possono manifestarsi
nella sua attuazione.
2. L’Ente, con atto del legale rappresentante, nomina (allegato 3) un
Amministratore utenze, che, tra l’altro:
- monitora e controlla il corretto utilizzo dei servizi INPS da parte dei
propri Operatori abilitati;
- revoca l’abilitazione all’utilizzo del PUE dell’Operatore al venir meno
delle condizioni che ne hanno determinato la concessione.
3. L’”Amministratore Utenze” è scelto esclusivamente tra i dipendenti
dell’Ente.
Rientra nei compiti dell’“Amministratore Utenze”:
- effettuare la richiesta di abilitazione al PUE come profilo comune per
gli Operatori dell’Ente già in possesso di SPID/CIE/CNS;
- revocare le autorizzazioni al venir meno delle condizioni che ne hanno
determinato la concessione.
4. Eventuali modifiche dei nominativi e dei recapiti delle figure di
riferimento riportati nei suddetti allegati potranno essere effettuate con
successivo scambio di comunicazioni Posta Elettronica Certificata (PEC)
tra le Parti.
Articolo 5
Allegati alla Convenzione
1. I seguenti allegati, per espressa previsione delle Parti, sono da ritenere
parte integrante della presente Convenzione:
a) Allegato 1 - Modulo di richiesta di prenotazione agli sportelli INPS
in modalità “web meeting”;
b) Allegato 2 – Referenti delle Parti per l’attuazione della
Convenzione;
c) Allegato 3 - Modulo di nomina dell’Amministratore delle Utenze
della Convenzione;
d) Allegato 4 - Atto giuridico di nomina quale Responsabile del
Trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE
2016/679;
e) Allegato 5 – Criteri tecnici per la fruibilità dei servizi forniti
dall’INPS.
Articolo 6
Spese ed oneri
1. L’Ente si fa carico del costo relativo al consumo di energia elettrica e di
tutte le altre spese dirette e indirette connesse alla realizzazione di “web
meeting” presso il PUE.
Articolo 7
Profilazione degli Operatori dell’Ente
1. L'accesso al servizio avverrà attraverso il sottoportale “Inps e i Comuni”,
utilizzando le credenziali SPID almeno di II livello, CIE o CNS,
strettamente personali, opportunamente profilate come ”Comune” e
abilitate al servizio PUE dall'INPS per gli Operatori espressamente
indicati dall’Amministratore Utenze.
2. L’”Amministratore Utenze” individuato, sulla base di requisiti di idoneità
soggettiva di tipo tecnico e fiduciario, curerà la gestione operativa delle
autorizzazioni di accesso. L’"Amministratore Utenze" è, inoltre, preposto
al monitoraggio e controllo dell'utilizzo dei servizi da parte degli
Operatori.
Articolo 8
Soggetti autorizzati all’accesso
1. Per le attività oggetto della presente Convenzione, sono autorizzati ad
accedere alla procedura – nel rispetto delle disposizioni di cui agli artt.
3 e 4 dell’Atto di nomina - soltanto gli Operatori ai quali l’Ente, secondo
le modalità descritte all’art. 7, ha attribuito uno specifico profilo di
abilitazione, in funzione dell’incarico svolto nel perseguimento delle
finalità di cui al precedente art. 1. Tali soggetti sono individuati e
nominati dall'Ente, quali “Persone autorizzate” al trattamento dei dati
personali a norma degli artt. 29 e 4, n. 10, del Regolamento UE e dell’art.
2-quaterdecies del Codice. Gli stessi sono istruiti dall’Ente, circa le
specifiche funzionalità della procedura, nonché sono informati delle
attività di tracciamento e di controllo delle operazioni di accesso poste
in essere dall’Istituto e dall’Ente stesso, ai sensi di quanto disposto del
successivo art. 13.
Articolo 9
Supporto operativo dell’INPS agli Operatori dell’Ente
1. Il personale dell’Ente che svolge l’attività di Operatore potrà avvalersi di
un servizio di consulenza telefonica fornito dai dipendenti dell'INPS per
l'espletamento dei compiti connessi al funzionamento del PUE e di
materiale informativo messo a disposizione dall’Istituto.
Articolo 10
Misure di sicurezza e responsabilità
1. Le Parti si impegnano a trattare i dati personali, osservando le misure di
sicurezza e i vincoli di riservatezza previsti dalla citata normativa
europea e nazionale sulla protezione dei dati, ossia in maniera da
garantire un’adeguata sicurezza delle informazioni, compresa la
protezione, mediante misure tecniche e organizzative adeguate, al fine
di scongiurare trattamenti non autorizzati o illeciti, la perdita, la
distruzione o il danno accidentali e, ai sensi dell’art. 32 del Regolamento
UE, garantire un livello di sicurezza parametrato al rischio individuato.
Articolo 11
Disposizioni in materia di protezione dei dati personali
1. Per il servizio INPS reso presso il PUE, Titolare del trattamento dei dati
effettuato è l'Istituto Nazionale della Previdenza Sociale che, ai sensi
dell’art. 28 del Regolamento UE, nomina l’Ente, presso cui è operativo il
PUE, Responsabile del trattamento dei dati personali (allegato 4).
2. Il trattamento dei dati personali, anche appartenenti alle tipologie di cui
agli artt. 9 e 10 del Regolamento UE, è svolto dal Responsabile del
trattamento designato nella scrupolosa osservanza, oltre che delle
apposite istruzioni ricevute dal Titolare (INPS) – a partire da quelle
contenute nella presente Convenzione, nell’Atto di nomina e,
successivamente, di quanto a tal fine indicato dal Titolare stesso - delle
disposizioni contenute nel Regolamento UE e nel Codice, in particolare
per quanto concerne le modalità con cui effettuare le operazioni affidate,
la sicurezza dei dati oggetto del trattamento, gli adempimenti e le
responsabilità nei confronti degli interessati, dei terzi e del Garante per
la protezione dei dati personali.
3. Il Responsabile del trattamento assicura che i dati personali vengano
utilizzati per fini non diversi da quelli previsti dalle disposizioni normative
vigenti, limitatamente ai trattamenti strettamente connessi agli scopi di
cui alla presente Convenzione e all’Atto di nomina, e nell’ambito delle
condizioni di liceità richiamate a fondamento degli stessi; il Responsabile
assicura, altresì, che i dati non saranno divulgati, comunicati - fatti salvi
gli obblighi di legge - ceduti a terzi, né in alcun modo riprodotti.
4. Ai sensi dell’art. 5 del citato Regolamento UE, i dati dovranno essere
trattati nel rispetto dei principi di liceità, correttezza e trasparenza,
limitazione della finalità, minimizzazione dei dati, esattezza, limitazione
della conservazione, integrità e riservatezza.
5. Il Titolare INPS informa gli interessati cui si riferiscono i dati circa i
trattamenti svolti in esecuzione della presente Convenzione e il
Responsabile del trattamento si impegna a comunicare
tempestivamente al Titolare qualsiasi richiesta di esercizio dei diritti
dell’interessato ricevuta ai sensi degli artt. 15 e seguenti del medesimo
Regolamento, per consentirne l'evasione nei termini previsti dalla legge.
6. Il Responsabile è tenuto ad avvisare immediatamente il Titolare in caso
di ispezioni, di richiesta di informazioni e di documentazione da parte
del Garante, fornendo, per quanto di competenza, il supporto
eventualmente richiesto.
7. Il Responsabile, a norma dell’art. 33, paragrafo 2, del Regolamento UE,
deve informare senza ritardo il Titolare, fornendo ogni informazione
utile, in caso di violazione dei dati o incidenti informatici eventualmente
occorsi nell’ambito dei trattamenti effettuati per conto dell’Istituto, che
possano avere un impatto significativo sui dati personali, in modo che
l’Istituto medesimo adempia, nei termini prescritti, alla dovuta
segnalazione di c.d. “data breach” al Garante per la protezione dei dati
personali in osservanza di quanto disposto all’art. 33 del Regolamento
UE.
8. Per le attività di cui alla presente Convenzione e all’Atto di nomina l’Ente,
designato Responsabile del trattamento, non è autorizzato a ricorrere
ad altro Responsabile ai sensi dell’art. 28, paragrafo 2, del Regolamento
UE.
Articolo 12
Tracciamento degli accessi e controlli
1. L’Ente si impegna a comunicare alle Persone autorizzate al trattamento
dei dati personali, sotto l'autorità diretta del Titolare, ai sensi dell’art. 8,
che l’Istituto procede a raccogliere registrazioni (log) che consentono di
verificare a posteriori le operazioni eseguite da ciascun Operatore.
2. Le Parti svolgono il controllo del rispetto delle corrette modalità di
accesso stabilite dalla presente Convenzione.
3. L’Ente si impegna a fornire all’Istituto, entro 15 giorni dalla richiesta,
tutti i chiarimenti e la documentazione che si rendesse necessaria a
seguito dell’attivazione dei controlli previsti dal precedente comma.
4. L’INPS si riserva la facoltà di modificare, in ogni momento, le modalità
di accesso, in relazione all’evoluzione dei propri sistemi di sicurezza
logica dei dati.
Articolo 13
Durata, rinnovo, modifiche e recesso
1. La presente Convenzione ha durata di 3 anni decorrenti dalla data di
sottoscrizione e può essere rinnovata, per una sola volta e per la stessa
durata, su concorde volontà delle Parti, espressa attraverso scambio di
Posta Elettronica Certificata da manifestarsi almeno sei mesi prima della
scadenza.
2. In caso di mancato rinnovo, alla scadenza della presente Convenzione
l’Istituto provvederà alla revoca dell’accesso di cui all’art. 2.
3. Le Parti si riservano la facoltà di recedere anticipatamente, mediante
preavviso di sei mesi da effettuarsi a mezzo posta elettronica certificata.
per l’INPS* per l’Ente*
*firma digitale
BOZZA
14 OTTOBRE 2022
AL COMUNE DI
1 Io sottoscritto/a
COGNOME NOME
CODICE FISCALE
NATO/A IL GG/MM/AAAA A PROV.
TELEFONO* CELLULARE*
EMAIL/PEC*
1 Chiedo l’accesso alla Sede INPS in modalità “web meeting” per il seguente motivo:
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
1 Allego una copia del mio documento di riconoscimento in corso di validità.
Data _ _ _ _ _ _ _ Firma _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Informativa sul trattamento dei dati personali
Informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento (UE) 2016/679
L’INPS, in qualità di Titolare del trattamento, con sede legale in Roma, via Ciro il Grande, n. 21, la informa che i trattamenti dei dati personali che la riguardano – sia di
quelli raccolti con la compilazione del presente modello di prenotazione sia di quelli che saranno oggetto di trattamento nell’ambito dell’incontro virtuale in modalità “web
meeting” - sono posti in essere in osservanza dei presupposti e nei limiti stabiliti dal Regolamento (UE) 2016/679 (di seguito, solo “Regolamento UE”) e dal decreto
legislativo 30 giugno 2003, n. 196, e successive modifiche ed integrazioni, recante il “Codice in materia di protezione dei dati personali”. Più in particolare, l’INPS le
comunica che tutte le operazioni sui dati personali, compresi quelli di cui agli artt. 9 e 10 del Regolamento UE, sono effettuate al fine di assicurare il servizio di sportello,
come da lei richiesto, in modalità “web meeting”, ossia erogato entrando in contatto direttamente con un Funzionario dell’Istituto, attraverso lo sportello telematico del
Punto Utente Evoluto ubicato presso il Comune a cui lei si è rivolto con la presente istanza. Il trattamento dei suoi dati personali potrà avvenire mediante l’utilizzo di
strumenti informatici, telematici e manuali, con logiche strettamente correlate alle finalità per le quali sono raccolti, in modo da garantirne la sicurezza e la riservatezza
nel rispetto delle indicazioni previste dal Regolamento UE, a partire da quanto indicato agli artt. da 5 a 11. Le attività connesse allo sportello telematico INPS in modalità
“web meeting” sono effettuate da dipendenti dell’Istituto e da operatori indicati dal Comune, allo scopo designato dall’INPS quale Responsabile del trattamento, nel
rispetto e con le garanzie a tale scopo indicate dal Regolamento UE. Tutte le persone impegnate nei trattamenti di dati personali sono preventivamente a tal fine
autorizzate ed istruite ed agiscono sotto l’autorità diretta del Titolare o del Responsabile. Gli operatori del Comune sono autorizzati a ricevere il presente modello e la
restante documentazione utile alla prenotazione dell’appuntamento e sono incaricati di gestire la postazione informatica nel corso del “web meeting”, presidiando
l’incontro telematico per tutto il tempo in cui la sessione è attiva, nonché di svolgere per suo conto tutte le operazioni connesse all’eventuale trasmissione di
documentazione con il Funzionario INPS (es.: caricamento documentazione, stampa, ecc.). Nel caso in cui, nel corso dell’incontro telematico, debba essere trasmessa
documentazione all’INPS, l’Operatore dell’Ente, ove necessario, ne attesterà la conformità all’originale. Si avvisa che i documenti cartacei, comprese le stampe, utilizzati
nel corso del “web meeting” devono essere da lei trattenuti, in quanto l’Operatore non conserverà alcuna copia degli stessi, poiché è stabilito che, al termine
dell’appuntamento, l’Operatore medesimo proceda alla cancellazione/distruzione di eventuale documentazione relativa all’utente, che dovesse essere rinvenuta negli
spazi adibiti all’incontro telematico. L’incontro virtuale in modalità “web meeting” non è soggetto a registrazione. Nei casi previsti, lei ha il diritto ad opporsi al trattamento
oad ottenere dall’INPS, in qualunque momento, l'accesso ai dati personali che la riguardano, la rettifica o la cancellazione degli stessi e la limitazione del trattamento
(artt. 15 e ss. del Regolamento UE). L'apposita istanza può essere presentata all'INPS tramite il Responsabile della Protezione dei dati all’indirizzo: INPS - Responsabile
della Protezione dei dati personali, Via Ciro il Grande, n. 21, cap. 00144, Roma; posta elettronica certificata: responsabileprotezionedati.inps@postacert.inps.gov.it.
Qualora ritenga che il trattamento di dati personali che la riguardano sia effettuato dall’INPS in violazione di quanto previsto dal Regolamento UE, ha il diritto di proporre
reclamo al Garante per la protezione dei dati personali (art. 77 del Regolamento UE) o di adire le opportune sedi giudiziarie (art. 79 del Regolamento UE). Ulteriori
informazioni in ordine al trattamento dei suoi dati da parte dell’INPS e ai diritti che le sono riconosciuti possono essere reperite sul sito istituzionale www.inps.it,
“Informazioni sul trattamento dei dati personali degli utenti dell’INPS, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679”, oppure, con riferimento alla generale
disciplina dei trattamenti, sul sito www.garanteprivacy.it del Garante per la protezione dei dati personali.
Dichiaro di aver preso visione dell’Informativa sulla privacy ai sensi dell’art. 13 del Regolamento (UE) 2016/679
Data _ _ _ _ _ _ _ Firma _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
OLLOCOTORP
COD. MVXX
Richiesta di prenotazione agli sportelli INPS in modalità “web meeting”
* Inserire almeno un contatto tra telefono, cellulare, email e PEC per eventuali comunicazioni inerenti l’erogazione del servizio.
Allegato 2
Referenti delle Parti per l’attuazione della Convenzione
Referenti per l’attuazione della Convenzione
Referente INPS:
Cognome Nome:
Telefono:
E-mail:
posta elettronica certificata (PEC) INPS
Referente dell’Ente:
Cognome Nome:
Telefono:
E-mail:
posta elettronica certificata (PEC) Ente
Indirizzo/i IP pubblico/i della rete dell’Ente da cui verranno effettuati gli
accessi:
Allegato 3
Modulo di nomina dell’Amministratore delle Utenze della Convenzione
Il sottoscritto ____________________________________________
Nato a _______________________ Prov. ___ il _____
Codice Fiscale ______________________________
Tipo Documento Numero _________________
______________________
Rilasciato da Scadenza
______________________ ____________________
in qualità di legale rappresentante dell'Ente
_________________________________
□ dichiara di assumere in proprio il ruolo di Amministratore Utenze e a
tal fine comunica i seguenti dati:
Telefono POSTA ELETTRONICA CERTIFICATA (PEC)
_____________ _______________________________
Cellulare Email
_____________ ______________________________
□ nomina Amministratore Utenze:
Cognome _____________Nome _______
Nato a _________________________________ Prov. ____
Il _____________________
Codice Fiscale ___________________________________________
Tipo Documento____________
Numero ________________
Rilasciato da Scadenza
___________________ ___________________________
Telefono _________________
POSTA ELETTRONICA CERTIFICATA (PEC) ______________________
Cellulare _________________
Email __________________________________________
L’Amministratore Utenze, come sopra individuato, è responsabile della
gestione operativa delle autorizzazioni di accesso alle banche dati INPS, è
tenuto ad adottare le procedure necessarie alla verifica sistematica ed alla
revisione periodica delle abilitazioni e dei profili di accesso ai dati rilasciate
attraverso un adeguato flusso informativo con l’unità interna Responsabile
del trattamento. Con la sottoscrizione per accettazione del presente modulo,
si impegna a comunicare eventuali errori, inesattezze e/o manchevolezze
riscontrate in ordine ai dati trasmessi o acceduti, effettuare la verifica interna
sull’adeguamento alle misure di sicurezza previste dal Codice in materia di
protezione dei dati personali, adottare le procedure necessarie a garantire la
conservazione delle informazioni acquisite per il tempo strettamente
necessario allo svolgimento delle attività per cui i dati sono stati acceduti e
la loro distruzione quando le stesse non siano più necessarie. Egli è altresì
tenuto a monitorare il corretto utilizzo delle utenze da parte degli utenti
dell’Ente autorizzati, comunicando all’INPS eventuali abusi, anomalie e/o
utilizzi non conformi ai fini istituzionali.
È riservato all'Ente di appartenenza, o suo delegato, il diritto di recesso del
presente atto di incarico, da comunicare alla sede INPS, anche tramite gli
strumenti telematici resi disponibili, con effetto dal momento in cui l'INPS
avrà ricevuto notifica.
______________, lì __/__/____ Firma del rappresentante
legale/delegato
______________________________
Per accettazione:
L’amministratore utenze nominato
_____________________________
Si allega copia dei documenti di identità dei sottoscrittori
Allegato 4
Atto giuridico di nomina quale Responsabile del trattamento dei dati
personali ai sensi dell’art. 28 del Regolamento UE 2016/679
Disciplina dei trattamenti: compiti e istruzioni per il trattamento
L’Istituto Nazionale Previdenza Sociale con sede in Roma, Via Ciro il Grande n.
21, C.F. n. 80078750587 – (di seguito, per brevità, solo l’”INPS”)
VISTO
• Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27
aprile 2016 relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che
abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati),
di seguito, per brevità, solo “Regolamento UE”;
• Il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003,
n. 196, così come modificato dal d.lgs. n. 101 del 2018 e dal decreto-legge 8
ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021,
n. 205, per brevità solo “Codice”;
CONSIDERATO
• che l’art. 4, paragrafo 1, numero 8, del Regolamento UE definisce il
«Responsabile del trattamento» come la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che tratta dati personali per conto del
Titolare del trattamento;
• il considerando numero 81 del Regolamento UE che prevede che “Per
garantire che siano rispettate le prescrizioni del presente regolamento riguardo
al trattamento che il responsabile del trattamento deve eseguire per conto del
titolare del trattamento, quando affida delle attività di trattamento a un
responsabile del trattamento il titolare del trattamento dovrebbe ricorrere
unicamente a responsabili del trattamento che presentino garanzie sufficienti, in
particolare in termini di conoscenza specialistica, affidabilità e risorse, per
mettere in atto misure tecniche e organizzative che soddisfino i requisiti del
presente regolamento, anche per la sicurezza del trattamento. [...] L’esecuzione
dei trattamenti da parte di un responsabile del trattamento dovrebbe essere
disciplinata da un contratto o da altro atto giuridico a norma del diritto
dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al
titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata
del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e
le categorie di interessati, tenendo conto dei compiti e responsabilità specifici
del responsabile del trattamento nel contesto del trattamento da eseguire e del
rischio in relazione ai diritti e alle libertà dell’interessato. […] Dopo il
completamento del trattamento per conto del titolare del trattamento, il
responsabile del trattamento dovrebbe, a scelta del titolare del trattamento,
restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati
membri cui è soggetto il responsabile del trattamento prescriva la conservazione
dei dati personali”.
• che l’art. 28, paragrafo 1, del Regolamento UE stabilisce che “Qualora un
trattamento debba essere effettuato per conto del titolare del trattamento,
quest’ultimo ricorre unicamente a responsabili del trattamento che presentino
garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate
in modo tale che il trattamento soddisfi i requisiti del presente regolamento e
garantisca la tutela dei diritti dell’interessato”;
• che l’art. 28, paragrafo 3, del Regolamento UE stabilisce che “ I trattamenti
da parte di un responsabile del trattamento sono disciplinati da un contratto o
da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che
vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la
materia disciplinata e la durata del trattamento, la natura e la finalità del
trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i
diritti del titolare del trattamento”;
• che l’art. 28, paragrafo 3, lett. b) del Regolamento UE stabilisce che,
nell’ambito del contratto o di altro atto giuridico a norma del punto precedente,
sia previsto, in particolare, che il Responsabile “garantisca che le persone
autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza
o abbiano un adeguato obbligo legale di riservatezza”;
• che l’art. 9 del Regolamento UE definisce “categorie particolari di dati
personali” i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati
genetici, dati biometrici intesi a identificare in modo univoco una persona fisica,
dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della
persona;
• che l’art. 10 del Regolamento UE definisce i dati personali che siano relativi
alle condanne penali e ai reati o a connesse misure di sicurezza sulla base
dell'articolo 6, paragrafo 1, del citato Regolamento UE.
PREMESSO
• che l’INPS ha sottoscritto una Convenzione e i relativi allegati, per
l'istituzione di un Punto Utente Evoluto INPS presso…………………………;
• che l’INPS, ai sensi dell’art. 24 del Regolamento UE, è Titolare del
trattamento dei dati personali affidati all’Ente richiedente ………………………
rappresentato da …………………, in esecuzione della Convenzione avente ad
oggetto l'istituzione di un Punto Utente Evoluto INPS presso i comuni;
• che per l’erogazione dei servizi, svolti dal personale dell’Ente in favore degli
utenti, di cui all’art. 1 della suddetta Convenzione, attraverso l’istituzione di un
"Punto Utente Evoluto", il Titolare intende nominare l’Ente, Responsabile per il
trattamento dei dati personali anche appartenenti alle categorie ai sensi degli
artt. 9 e 10 del Regolamento UE;
• che l’Ente è in possesso dei requisiti previsti e rientra tra i soggetti che per
esperienza, capacità ed affidabilità forniscono garanzie sufficienti del pieno
rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi
compreso il profilo relativo alla sicurezza, per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
Regolamento UE e garantisca la tutela dei diritti dell’interessato;
tutto ciò premesso, l’INPS, in qualità di Titolare del trattamento dei dati personali
di cui alla Convenzione (di seguito, per brevità, solo il “Titolare”),
DESIGNA
• ai sensi e per gli effetti dell’art. 28 del Regolamento UE, l’Ente presso cui è
istituito il Punto Utente Evoluto (di seguito, per brevità, solo “PUE”) quale
“Responsabile del trattamento” (di seguito, per brevità, solo “Responsabile”) per
l’erogazione dei servizi previsti dall’art. 1 della Convenzione;
• L’Ente, nella persona del Sig. ………………………, nella sua qualità di legale
rappresentante, con la sottoscrizione del presente Atto, dichiara espressamente
di accettare la designazione e dichiara di conoscere gli obblighi che, per effetto
di tale accettazione, assume in relazione a quanto prescritto dal Regolamento
UE, dalla Convenzione, dal presente Atto di Nomina e dalle prescrizioni del
Garante per la protezione dei dati personali (di seguito, per brevità, solo
“Garante”).
Disciplina dei trattamenti:
compiti e istruzioni per il Responsabile del trattamento
ART. 1
Compiti del Responsabile del trattamento
1.1. Il Titolare affida al Responsabile le operazioni di trattamento dei dati
personali - anche appartenenti alle categorie di cui agli artt. 9 e 10 del
Regolamento UE - di cui alla Convenzione, esclusivamente per le finalità
indicate nella medesima Convenzione.
1.2. Il Responsabile conferma la sua diretta ed approfondita conoscenza degli
obblighi che assume in relazione alle disposizioni contenute nel Regolamento
UE ed assicura che la propria struttura organizzativa sia idonea ad effettuare il
trattamento dei dati di cui alla Convenzione nel pieno rispetto delle prescrizioni
legislative, ivi compreso il profilo della sicurezza e si impegna a realizzare, ove
mancante, tutto quanto ritenuto utile e necessario per il rispetto e
l’adempimento di tutti gli obblighi previsti dal Regolamento UE nei limiti dei
compiti che gli sono affidati.
1.3. Il Responsabile si vincola a comunicare al Titolare qualsiasi mutamento
delle garanzie offerte o gli elementi di valutazione in ordine all’incertezza del
mantenimento delle stesse, con riferimento all’adozione delle misure tecniche
e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
Regolamento UE e garantisca la tutela dei diritti dell’interessato, considerato
che la sussistenza di tali garanzie è presupposto per la presente nomina a
Responsabile e per il suo mantenimento.
1.4. Il Titolare comunicherà al Responsabile qualsiasi variazione si dovesse
rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile e i
soggetti autorizzati al trattamento sotto la sua diretta autorità non potranno
effettuare nessuna operazione di trattamento dei dati, compresi anche quelli
appartenenti alle categorie di cui agli artt. 9 e 10 del Regolamento UE, al di
fuori delle regole previste nella Convenzione e osserveranno, in ogni fase del
trattamento, il rispetto dei principi di liceità, correttezza e trasparenza,
limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della
conservazione, integrità e riservatezza, sanciti dall’art. 5 del Regolamento UE.
ART. 2
Modalità di espletamento dei compiti
2.1 Il Responsabile si impegna a trattare i dati personali solo per le finalità e i
tempi strettamente necessari all’erogazione dei servizi forniti per conto del
Titolare, come previsti nella Convenzione, nel pieno rispetto sia della normativa
vigente - con particolare riguardo alle norme del Regolamento UE - sia delle
istruzioni fornite dal Titolare, a cominciare da quelle indicate nel presente Atto,
nonché le ulteriori eventualmente contenute in successive comunicazioni che,
a tale fine, gli saranno formalizzate dal Titolare.
2.2 Il Responsabile avrà particolare riguardo ad attenersi alle modalità indicate
dal Titolare per effettuare le operazioni affidate, alla tutela della sicurezza dei
dati oggetto del trattamento, agli adempimenti e alle responsabilità nei
confronti degli interessati, dei terzi e del Garante.
2.3 Laddove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni
impartite dal Titolare, anche per caso fortuito o forza maggiore, deve
tempestivamente informare il Titolare per concordare eventuali ulteriori misure
di protezione. In tali casi, comunque, il Responsabile adotterà
tempestivamente ogni possibile e ragionevole misura di salvaguardia.
2.4 L’Ente richiedente ………………in qualità di “Responsabile del trattamento”,
non è autorizzata a ricorrere ad “Altro Responsabile” per il trattamento ai sensi
dell’art. 28, paragrafo 2, del Regolamento UE.
2.5 Il Responsabile si impegna ad adottare le misure di sicurezza per la
protezione dei dati idonee a garantirne la riservatezza, l’integrità, la
disponibilità e la custodia in ogni fase del trattamento così da ridurre al minimo
i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso
non autorizzato, di trattamento non consentito o non conforme alle finalità dei
servizi oggetto della Convenzione. In tale ambito, il Responsabile adotta un
sistema di sicurezza, anche per l’identificazione ed autenticazione dei soggetti
autorizzati alle operazioni sui dati, mettendo in atto misure tecniche e
organizzative idonee a garantire un livello di sicurezza adeguato al rischio
presentato dal trattamento in linea con le disposizioni di cui all’art. 32 del
Regolamento UE.
2.6 La documentazione stampata o resa disponibile in qualsiasi modalità
all’utente, durante l’interazione con il funzionario INPS, dovrà essere
consegnata all’utente da parte dell’Operatore, senza che quest’ultimo ne
trattenga copia in qualsiasi formato (cartaceo, digitale etc.), con l’eccezione
della documentazione relativa alla richiesta di appuntamento. Quest’ ultima
dovrà essere conservata, a cura dell’Operatore, per almeno 48 mesi, adottando
tutte le misure necessarie ad impedire l’accesso di estranei agli atti relativi alla
richiesta di prenotazione dell’appuntamento. A tal fine l’Operatore dovrà
provvedere a custodire la relativa documentazione di prenotazione in armadi
chiusi, previo inserimento della stessa in apposita cartella.
ART. 3
Persone autorizzate al trattamento
3.1. Il Responsabile assicura che il trattamento affidato sarà svolto
esclusivamente da persone preventivamente autorizzate, nei termini di cui
all’art. 7 e all’art. 11. Il Responsabile si impegna ad individuare e nominare le
persone fisiche autorizzate al trattamento dei dati quali “Persone autorizzate”
- a norma degli artt. 29 e 4, n. 10, del Regolamento UE e dell’ art. 2-
quaterdecies del Codice - scegliendo i soggetti reputati idonei ad eseguire le
operazioni di trattamento, nel pieno rispetto delle prescrizioni legislative e dei
contenuti della Convenzione, impartendo loro, per iscritto, le idonee indicazioni
per lo svolgimento dei relativi compiti, con l’assegnazione di apposite
credenziali e uno specifico profilo di abilitazione e attraverso la definizione di
regole e modelli di comportamento.
3.2 Il Responsabile indica precise e dettagliate istruzioni alle Persone
autorizzate, in particolare, sugli obblighi di cui agli artt. 2 e 3 della
Convenzione. In tale ambito, provvede a richiamare l’attenzione sulle
responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle
funzionalità dei collegamenti; in tale ambito, il Responsabile impegna le
“Persone autorizzate al trattamento” alla riservatezza anche attraverso
l’imposizione di un adeguato obbligo legale di riservatezza.
3.3 Il Responsabile detiene un elenco nominativo aggiornato delle “Persone
autorizzate”, recante altresì l’indicazione dei trattamenti affidati e dei relativi
profili di autorizzazione di accesso ai dati.
3.4 Il Responsabile deve provvedere, nell’ambito dei percorsi formativi
predisposti per i soggetti autorizzati al trattamento dei dati, alla specifica
formazione sulle modalità di gestione sicura e sui comportamenti prudenziali
nella gestione dei dati personali, specie con riguardo all’obbligo legale di
riservatezza cui gli stessi sono soggetti.
3.5 Il Responsabile, in ossequio a quanto disposto dall’art. 32, paragrafo 4, del
Regolamento UE, assicura che chiunque agisca sotto la sua autorità e abbia
accesso a dati personali, non abbia facoltà di trattare tali dati se non
espressamente autorizzato dal Titolare del trattamento. Tale autorizzazione
non è richiesta qualora il caso specifico sia espressamente disciplinato dal
diritto dell’Unione o degli Stati membri.
ART. 4
Controlli e tracciamento degli accessi
4.1 Il Titolare del trattamento eseguirà controlli, anche a campione, finalizzati
ad una verifica della puntuale applicazione delle istruzioni impartite al
Responsabile nonché della conformità delle operazioni di trattamento alla
normativa di riferimento in materia e a quanto oggetto di pattuizione nella
Convenzione. Qualora tali controlli implichino l’accesso ai locali del
Responsabile, quest’ultimo si impegna a consentire l’accesso ai rappresentanti
del Titolare, salvo preavviso di almeno cinque giorni lavorativi. Detti controlli
si svolgeranno con modalità tali da non interferire con la regolare attività del
Responsabile.
4.2 Il Responsabile tiene traccia dell’accesso ai dati e delle operazioni svolte
dalle “Persone autorizzate” e fornisce le evidenze al Titolare nel caso in cui
quest’ultimo ne faccia richiesta.
4.3 Il Responsabile si impegna ad informare per iscritto il Titolare, qualora lo
richieda, circa lo stato di applicazione delle procedure ed istruzioni impartite e,
in ogni caso di necessità, a segnalargli l’opportunità di intervento, consentendo
e contribuendo alle attività di revisione dallo stesso realizzate.
ART. 5
Registro dei trattamenti e nomina RPD
5.1 Il Responsabile tiene il registro di tutte le categorie di attività relative al
trattamento svolto per conto del Titolare contenente gli elementi di cui all’art.
30, paragrafo 2, del Regolamento UE.
5.2 Il Responsabile, se ricorrono i presupposti, procede alla designazione del
Responsabile della protezione dei dati ai sensi dell’art. 37 del Regolamento UE,
comunicandone gli estremi e i dati di contatto al Titolare.
ART. 6
Comunicazione e diffusione dei dati
6.1 Il Responsabile, al di fuori dei casi previsti da specifiche norme di legge,
non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del
Titolare.
ART. 7
Obblighi di collaborazione con il Titolare
7.1 Il Responsabile si impegna a comunicare tempestivamente al Titolare
qualsiasi richiesta di esercizio dei diritti dell’interessato ricevuta ai sensi degli
artt. 15 e seguenti del Regolamento UE, per consentirne l'evasione nei termini
previsti dalla legge, e ad avvisarlo immediatamente in caso di ispezioni, di
richiesta di informazioni e di documentazione da parte del Garante, fornendo,
per quanto di competenza, il supporto eventualmente richiesto.
7.2 Il Responsabile, a norma dell’art. 33, paragrafo 2, del Regolamento, deve
informare senza ritardo il Titolare, fornendo ogni informazione utile, in caso di
violazione dei dati o incidenti informatici eventualmente occorsi nell’ambito dei
trattamenti effettuati per conto dell’Istituto, che possano avere un impatto
significativo sui dati personali, in modo che l’Istituto medesimo adempia, nei
termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per
la protezione dei dati personali in osservanza di quanto disposto all’art. 33 del
Regolamento UE.
7.3 Il Responsabile, tenendo conto della natura del trattamento e delle
informazioni di cui dispone, deve assistere il Titolare nel garantire il rispetto di
tutti gli obblighi di cui agli artt. da 32 a 36 del Regolamento UE. In particolare,
conformemente all’art. 28, paragrafo 3, lett. f) del Regolamento UE, deve
assistere il Titolare nell’esecuzione della valutazione d’impatto sulla protezione
dei dati e fornire tutte le informazioni necessarie.
ART. 8
Ulteriori disposizioni
8.1 Il Responsabile adotta tutte le necessarie misure e gli accorgimenti circa
le funzioni di “amministratori di sistema” in conformità al Provvedimento
Generale del Garante del 27 novembre 2008, così come modificato in base al
provvedimento del 25 giugno 2009; in particolare, designa individualmente per
iscritto gli “amministratori di sistema” (e funzioni assimilate), con elencazione
analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione
assegnato, attribuendo tali funzioni previa valutazione dell'esperienza, della
capacità e dell'affidabilità del soggetto designato. Il Responsabile conserva
l’elenco degli amministratori di sistema, con gli estremi identificativi e le
funzioni loro attribuite e, qualora richiesto, comunica tale elenco al Titolare.
ART. 9
Disposizioni finali
9.1 Con la sottoscrizione del presente Atto, il Responsabile accetta la nomina
attenendosi alle istruzioni ivi indicate e alle disposizioni di legge ed eventuali
successive modifiche ed integrazioni e ad ogni altra normativa vigente in
materia di protezione di dati personali.
9.2 Fatta eccezione per quanto diversamente previsto, il presente Atto di
Nomina cesserà, comunque, di produrre i suoi effetti al termine dell’erogazione
del servizio affidato.
9.3 Per tutto quanto non espressamente previsto nel presente Atto, si rinvia
alle disposizioni generali vigenti in materia di protezione dei dati personali.
Il Titolare Il Responsabile
Allegato 5
Criteri tecnici per la fruibilità dei servizi forniti dall’INPS
a) Modalità di fruizione
I servizi online previsti dalla Convenzione sono fruibili attraverso la rete
pubblica internet mediante applicazioni web accessibili con Protocollo HTTPS.
Il servizio sarà esposto nel portale dell’Istituto nell’esistente ‘Portale l’INPS e i
“Comuni”.
L’Ente deve essere assegnatario da parte del suo fornitore di servizi Internet
di un indirizzo IP pubblico statico, in quanto questo deve essere comunicato
all’Istituto in fase di convenzionamento nell’allegato 2 ed è un parametro
fondamentale per stabilire il flusso delle comunicazioni.
Inoltre, l’Ente deve comunicare la fascia oraria di utilizzo del servizio. Questa
fascia oraria si applicherà a tutti i servizi INPS utilizzati dall’Ente: al di fuori di
questa fascia oraria, i servizi web dell’Istituto non sono utilizzabili da parte
dell’Ente.
Queste informazioni si applicano a tutti gli accessi su servizi INPS da parte
dell’Ente, anche diversi da quelli previsti da questa Convenzione. Pertanto, non
è necessario siano fornite in caso siano state già comunicate per altra
Convenzione in corso di validità.
b) Regole di sicurezza
1) Modalità di accesso
L’accesso ai servizi online è consentito solo ad Operatori espressamente
autorizzati al servizio da parte dell’Ente. L’accesso potrà avvenire attraverso
credenziali SPID almeno di livello 2, la Carta di Identità Elettronica (CIE), la
Carta Nazionale dei Servizi (CNS) o altri strumenti di autenticazione forte che
potranno rendersi necessari per garantire i più idonei livelli di sicurezza.
2) Vincoli e restrizioni
Al fine di prevenire e/o mitigare il rischio di accessi alle banche dati all’esterno
del contesto lavorativo dell’Ente, l’INPS si riserva la facoltà di limitare l’accesso
ai servizi online solo in particolari fasce orarie.
Gli Operatori autorizzati dall’Ente sono tenuti all’osservanza della “Informativa
per l'utilizzo del PIN di accesso ai servizi telematici dell'INPS”, che è estesa a
tutte le tipologie di identità digitali ammesse, resa nota attraverso il messaggio
11837 del 23/07/2013 e comunicata agli utenti al momento del primo accesso.
3) Gestione File
Nel caso di un avvenuto scambio con il funzionario INPS di files riguardanti il
cittadino durante il “web meeting”, al termine della sessione l’Operatore è
tenuto ad eliminare tutti i file presenti nella postazione dell’Ente.
4) Autorizzazioni di accesso
L’Ente dovrà individuare un Amministratore delle utenze, appositamente
nominato dal legale rappresentante, preposto alle funzioni di cui all’art.4.
VERIFICHE SUGLI ACCESSI
Ai fini della verifica del rispetto di quanto previsto dal presente documento,
l’INPS effettua controlli automatizzati per l’individuazione di eventuali anomalie
nelle attività di accesso ai dati da parte degli Operatori designati dall’Ente
erogatore.
In presenza di anomalie o sospette irregolarità nei predetti accessi, si
provvederà con immediatezza alla richiesta di chiarimenti in ordine al
comportamento posto in essere ed alla documentazione attestante la regolarità
degli accessi effettuati.
Il mancato invio di quanto richiesto ovvero l’inoltro di documentazione non
esaustiva comporterà l’immediata disabilitazione dell’utenza con contestuale
segnalazione al Garante per la protezione dei dati personali, in base ai relativi
profili di competenza. Ricorrendone i presupposti, si procederà, altresì, a
segnalare i fatti all’autorità giudiziaria per quanto di competenza in ordine ad
eventuali ipotesi di reato, ferma restando ogni eventuale azione civile a tutela
dell’Istituto.
Nel caso in cui l’irregolarità degli accessi sia di manifesta grave rilevanza,
contestualmente all’invio della richiesta di documentazione giustificativa si
procederà anche alla sospensione in via preventiva dell’utenza interessata.
Hai domande su questa normativa?
FiscoAI analizza Messaggio INPS 4461/2023 e risponde alle tue domande fiscali con citazioni precise.
Prova gratis Vai alla dashboard