News ed eventi

Prime linee guida per le convenzioni per la fruibilità di banche dati

• 

Dettagli

Categoria principale: News ed eventi

Creato Domenica, 26 Giugno 2011 23:00

Sono state rese disponibili dal Gruppo di lavoro istituito da DigitPA le prime Linee guida per la stesura delle convezioni per l’accesso ai dati delle PA, di cui vi avevamo già dato notizia.

Vogliamo sintetizzare di seguito i principali punti del documento, che è ora stato sottoposto al Garante per la tutela dei dati personali e sarà successivamente aggiornato da DigitPA sulla scorta delle indicazioni da questi espresse.

Il documento "Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni - art. 58 comma 2 del CAD" contiene indicazioni di dettaglio su vari aspetti

• aspetti preliminari e di contesto (par. 3-6), relativi in particolare a destinatari della convenzione, termini di adempimento, elementi per la raccolta e la formazione del dato, modalità di accesso alle banche dati, servizi disponibili per la consultazione delle banche dati, aspetti di sicurezza e privacy, livelli di servizio;
• contenuti che devono essere presenti nei documenti di convenzione (par. 7);
• modalità di comunicazione della convenzione (par. 8).

 

Gli aspetti generali

Procedendo per ordine, le linee guida nel paragrafo 6 descrivono il contesto di riferimento per le convenzioni, andando in particolare a fornire delle indicazioni sugli elementi di seguito elencati.

Destinatari e contesto di riferimento – Sono tutti i soggetti (amministrazioni, società partecipate, gestori di servizi pubblici, …) interessati dal CAD, indicati all’art.2, co. 1 e 2 dello stesso, ed in particolare alle pubbliche amministrazioni connesse tramite SPC, in quanto tale contesto di utilizzo garantisce adeguati livelli di sicurezza e di tutela dei dati. I soggetti che attualmente non aderiscono al SPC devono prevedere all’interno delle convenzioni idonee misure di sicurezza, in linea con le indicazioni presenti nelle Linee guida.

Termini per la predisposizione delle convenzioni – Sono stati fissati in 12 mesi dall’entrata in vigore del nuovo CAD. Nel caso in cui entro tale termini non saranno predisposte, il Presidente del Consiglio dei Ministri stabilisce il nuovo termine entro il quale le amministrazioni dovranno provvedere, dopo il quale eventualmente nominare un Commissario ad acta.

La raccolta e formazione del dato – Con riferimento alla raccolta dei dati, prima di avviare attività di raccolta di nuovi dati, le amministrazioni sono tenute a verificare se le informazioni ricercate possano essere richieste ad altre amministrazioni. Le amministrazioni che mettono a disposizione proprie banche dati devono pubblicare sul proprio sito, in un’apposita sezione denominata “Dati fruibili da altre amministrazioni”, i dati che possono essere fruiti da altre amministrazioni. Nella raccolta e formazione del dato le amministrazioni devono:

• adottare soluzioni che assicurino l’interoperabilità e la cooperazione applicativa e consentano la rappresentazione dei dati in più formati, di cui almeno uno di tipo aperto (cfr. art. 68 del CAD);
• considerare anche possibili finalità statistiche e a tal fine dovranno rendere disponibile il dato adottando criteri per l’aggregazione dei dati, in particolare per ambiti territoriali.

Modalità di accesso alle banche dati – Sono previste due opzioni tecniche per la fruibilità dei dati:

• cooperazione applicativa (componente del SPC finalizzata all’interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l’integrazione dei metadati, delle informazioni e dei procedimenti amministrativi)
• accesso via web, attraverso il sito istituzionale dell’amministrazione titolare dei dati o un sito tematico predisposto per tale fine.

L’allegato alle Linee guida “Criteri tecnici per le modalità di accesso” dettaglia le due modalità di accesso.

Vengono individuate inoltre ulteriori due modalità di accesso alternative e transitorie, nel caso in cui si presentino documentabili vantaggi economici o la situazione infrastrutturale ed organizzativa non consenta l’adozione delle modalità in cooperazione applicativa o via web: il trasferimento di file in modalità FTP (se preesistenti investimenti, natura delle richieste e specifiche condizioni facciano propendere per tale modalità) ovvero la posta elettronica certificata (in caso di richieste a bassa periodicità, quantità di dati contenuta, ovvero di maggiore economicità della soluzione).

Servizi per l’accesso ai dati – Ricerca, consultazione (per la navigazione e visualizzazione dei dati) e scaricamento (download dei dati) sono i servizi che possono essere previsti per la fruizione dei dati.

Sicurezza e privacy – A carico dell’amministrazione erogante vi è l’obbligo di redigere un documento completo, strutturato e aggiornato sui soggetti che accedono alle banche dati, indicante i flussi di trasferimento dati da e verso la banca dati, e per i diversi flussi e accessi i soggetti legittimati a realizzarli, la base normativa, la finalità istituzionale, la natura e qualità dei dati, la frequenza e il volume degli accessi. Il documento deve essere mantenuto aggiornato, nonché reso disponibile in caso di controlli. Le convenzioni devono inoltre indicare i voncoli per assicurare un corretto trattamento dei dati. Si segnala che a carico dell’amministrazione fruitrice vi è l’obbligo di utilizzare i dati esclusivamente per le finalità dichiarate, di procedere al trattamento dei dati personali nel rispetto della relativa normativa, di garantire la non divulgazione, comunicazione e cessione a terzi di dati, così come la riproduzione e duplicazione delle banche dati, di controllare gli accessi da parte del personale e a formarlo in relazione alle corrette modalità di accesso ed utilizzo delle banche dati. L’amministrazione fruitrice deve infine garantire il rispetto al proprio interno di idonee regole di sicurezza. 

Livelli di servizio – Devono essere predefiniti dall’amministrazione titolare dei dati ed esplicitati all’interno della convenzione.

 

I contenuti della convenzione

Oltre a ribadire che le Convenzioni dovranno essere aderenti a quanto definito nelle linee guida, vengono elencati gli aspetti che devono trovare espressa trattazione all’interno del documento:

1. Ambito di applicazione e scopo, ovvero l’indicazione delle amministrazioni erogatore e richiedente i dati, i riferimenti normativi che “permettono” la stipula di una convenzione per l’accesso ai dati di un’altra amministrazione per le attività di competenza dell’amministrazione, gli obiettivi specifici della convenzione.
2. Modalità di accesso telematico alla banca dati, ovviamente conforme alle opzioni definite nelle linee guida (vedi sopra).
3. Utilizzo dei dati, ovvero l’indicazione della necessità degli stessi per lo svolgimento dei compiti istituzionali dell’amministrazione richiedente (con una specificazione dei motivi che titolo il fruitore all’accesso alla banca dati) e l’impegno del fruitore al corretto utilizzo dei dati nel rispetto della normativa in materia di protezione dei dati personali.
4. Conservazione dei dati, ovvero l’indicazione delle modalità di trattamento dei dati predisposte dal fruitore una volta acquisiti i dati, e del responsabile per la conservazione ai sensi della normativa sulla privacy.
5. Titolarità del dato, ovvero la specificazione che la banca dati rimane di proprietà dell’amministrazione che la mette a disposizione, in linea con l’art. 58, comma 1 del CAD.
6. Assenza di oneri economici, così come previsto dall’art. 58, comma 2, del CAD.
7. Durata della convenzione, ovvero le dati di inizio e di termine, oltre il quale non ha più validità la convenzione e si sospendono le attività relative.

Viene inoltre stabilito che la Convenzione dovrà prevedere anche un Allegato, contenente:

1. le regole organizzative e tecniche per l’accesso alla banca dati oggetto di convenzione, ovvero la descrizione dell’infrastruttura tecnologica resa disponibile per l’accesso ai dati, le modalità di fruizione dei dati e le regole di accesso;
2. i servizi forniti;
3. le regole minime di sicurezza;
4. i livelli di servizio e le modalità di assistenza;
5. la periodicità di aggiornamento dei dati;
6. il glossario, se necessario.

 

Le modalità di comunicazione della convenzione

L’amministratore titolare della banca dati deve comunicare le convenzioni stipulate per l’accesso alla banca dati all’Ufficio dati pubblici di DigitPA (Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.) per permettere a quest’ultima le attività di monitoraggio e controllo sulla stipula delle convenzioni previste dall’art. 58, comma 3, del CAD. I dati da comunicare:

• oggetto della convenzione
• durata della convenzione
• amministrazione fruitore
• responsabili per la convenzione dell’amministrazione titolare ed erogatore e dell’amministrazione fruitore

Per le convenzioni che prevedono una fruizione dei dati in cooperazione applicativa attraverso SPC e SPCoop, tale adempimento è già soddisfatto attraverso la pubblicazione dell’Accordo di servizio nel registro SICA.

 

---

Approfondimenti:

 

• La prima versione delle Linee guida per le convenzioni per l’accesso ai dati delle P.A.  ed i relativi Allegati, dal sito di DigitPA.
• L'articolo su SaperiPA di Simonetta Zingarelli  pa su linee guida
• Il nostro precedente articolo sulle prime attività del gruppo di lavoro "banche dati"