Sono state rese disponibili dal Gruppo di lavoro istituito da DigitPA le prime Linee guida per la stesura delle convezioni per l’accesso ai dati delle PA, di cui vi avevamo già dato notizia.
Vogliamo sintetizzare di seguito i principali punti del documento, che è ora stato sottoposto al Garante per la tutela dei dati personali e sarà successivamente aggiornato da DigitPA sulla scorta delle indicazioni da questi espresse.
Il documento "Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni - art. 58 comma 2 del CAD" contiene indicazioni di dettaglio su vari aspetti
Gli aspetti generali
Procedendo per ordine, le linee guida nel paragrafo 6 descrivono il contesto di riferimento per le convenzioni, andando in particolare a fornire delle indicazioni sugli elementi di seguito elencati.
Destinatari e contesto di riferimento – Sono tutti i soggetti (amministrazioni, società partecipate, gestori di servizi pubblici, …) interessati dal CAD, indicati all’art.2, co. 1 e 2 dello stesso, ed in particolare alle pubbliche amministrazioni connesse tramite SPC, in quanto tale contesto di utilizzo garantisce adeguati livelli di sicurezza e di tutela dei dati. I soggetti che attualmente non aderiscono al SPC devono prevedere all’interno delle convenzioni idonee misure di sicurezza, in linea con le indicazioni presenti nelle Linee guida.
Termini per la predisposizione delle convenzioni – Sono stati fissati in 12 mesi dall’entrata in vigore del nuovo CAD. Nel caso in cui entro tale termini non saranno predisposte, il Presidente del Consiglio dei Ministri stabilisce il nuovo termine entro il quale le amministrazioni dovranno provvedere, dopo il quale eventualmente nominare un Commissario ad acta.
La raccolta e formazione del dato – Con riferimento alla raccolta dei dati, prima di avviare attività di raccolta di nuovi dati, le amministrazioni sono tenute a verificare se le informazioni ricercate possano essere richieste ad altre amministrazioni. Le amministrazioni che mettono a disposizione proprie banche dati devono pubblicare sul proprio sito, in un’apposita sezione denominata “Dati fruibili da altre amministrazioni”, i dati che possono essere fruiti da altre amministrazioni. Nella raccolta e formazione del dato le amministrazioni devono:
Modalità di accesso alle banche dati – Sono previste due opzioni tecniche per la fruibilità dei dati:
L’allegato alle Linee guida “Criteri tecnici per le modalità di accesso” dettaglia le due modalità di accesso.
Vengono individuate inoltre ulteriori due modalità di accesso alternative e transitorie, nel caso in cui si presentino documentabili vantaggi economici o la situazione infrastrutturale ed organizzativa non consenta l’adozione delle modalità in cooperazione applicativa o via web: il trasferimento di file in modalità FTP (se preesistenti investimenti, natura delle richieste e specifiche condizioni facciano propendere per tale modalità) ovvero la posta elettronica certificata (in caso di richieste a bassa periodicità, quantità di dati contenuta, ovvero di maggiore economicità della soluzione).
Servizi per l’accesso ai dati – Ricerca, consultazione (per la navigazione e visualizzazione dei dati) e scaricamento (download dei dati) sono i servizi che possono essere previsti per la fruizione dei dati.
Sicurezza e privacy – A carico dell’amministrazione erogante vi è l’obbligo di redigere un documento completo, strutturato e aggiornato sui soggetti che accedono alle banche dati, indicante i flussi di trasferimento dati da e verso la banca dati, e per i diversi flussi e accessi i soggetti legittimati a realizzarli, la base normativa, la finalità istituzionale, la natura e qualità dei dati, la frequenza e il volume degli accessi. Il documento deve essere mantenuto aggiornato, nonché reso disponibile in caso di controlli. Le convenzioni devono inoltre indicare i voncoli per assicurare un corretto trattamento dei dati. Si segnala che a carico dell’amministrazione fruitrice vi è l’obbligo di utilizzare i dati esclusivamente per le finalità dichiarate, di procedere al trattamento dei dati personali nel rispetto della relativa normativa, di garantire la non divulgazione, comunicazione e cessione a terzi di dati, così come la riproduzione e duplicazione delle banche dati, di controllare gli accessi da parte del personale e a formarlo in relazione alle corrette modalità di accesso ed utilizzo delle banche dati. L’amministrazione fruitrice deve infine garantire il rispetto al proprio interno di idonee regole di sicurezza.
Livelli di servizio – Devono essere predefiniti dall’amministrazione titolare dei dati ed esplicitati all’interno della convenzione.
I contenuti della convenzione
Oltre a ribadire che le Convenzioni dovranno essere aderenti a quanto definito nelle linee guida, vengono elencati gli aspetti che devono trovare espressa trattazione all’interno del documento:
Viene inoltre stabilito che la Convenzione dovrà prevedere anche un Allegato, contenente:
Le modalità di comunicazione della convenzione
L’amministratore titolare della banca dati deve comunicare le convenzioni stipulate per l’accesso alla banca dati all’Ufficio dati pubblici di DigitPA (Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.) per permettere a quest’ultima le attività di monitoraggio e controllo sulla stipula delle convenzioni previste dall’art. 58, comma 3, del CAD. I dati da comunicare:
Per le convenzioni che prevedono una fruizione dei dati in cooperazione applicativa attraverso SPC e SPCoop, tale adempimento è già soddisfatto attraverso la pubblicazione dell’Accordo di servizio nel registro SICA.
Approfondimenti: