Rinnovata ed estesa ai privati la convenzione quadro per i servizi di rilascio del Durc

 

Inail e Inps sottoscrivono la nuova convenzione quadro che si rivolge ai soggetti pubblici e privati aventi titolo alla fornitura dei dati finalizzata alla verifica della regolarità contributiva, in grado di operare con lo strumento della cooperazione applicativa. 

Servizi di rilascio del Durc

Inail e Inps, d’intesa con la Commissione Nazionale Paritetica per le Casse edili, varano la nuova convenzione quadro, di durata triennale, che regola la fornitura dei dati in cooperazione applicativa per il rilascio del Durc, il documento unico di regolarità contributiva che dal 2015 può essere richiesto online, in tempo reale e con un’unica interrogazione tramite il servizio web attivo sui portali di Inail e Inps.

Nel nuovo accordo vengono coinvolti non solo i soggetti pubblici, ma anche i soggetti privati tenuti ad applicare il Codice dei contratti pubblici o a verificare la regolarità contributiva nei procedimenti finalizzati ad erogazioni pubbliche per i quali è previsto il possesso della regolarità contributiva. Prima della sottoscrizione dell’accordo, Inps e Inail verificano il fondamento normativo della richiesta di adesione.

Previsto un tetto giornaliero per la trasmissione dei codici fiscali. Obiettivo della convenzione è attuare una collaborazione fattiva tra le parti che, con l’ausilio degli strumenti tecnologici, consenta uno svolgimento più agevole dei rispettivi compiti. Per la verifica massiva della regolarità contributiva in cooperazione applicativa, è previsto comunque un limite giornaliero di richieste.

Trattamento dei dati. I soggetti esterni che aderiscono alla convenzione quadro si impegnano innanzitutto a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso. Richiesto anche l’impegno a collaborare in eventuali attività di controllo del rispetto dei vincoli di utilizzo dei servizi, a conservare le informazioni ricevute per il tempo strettamente necessario alle verifiche e a cancellare i dati non appena siano state utilizzate le informazioni secondo le finalità dichiarate.

 

Allegato

CONVENZIONE QUADRO TRA INAIL/INPS E SOGGETTI PUBBLICI E PRIVATI PER LA FORNITURA DATI FINALIZZATA ALLA VERIFICA DELLA REGOLARITÀ CONTRIBUTIVA

 

Articolo 1

Oggetto e finalità

 

La Convenzione disciplina i rapporti tra le Parti relativi alla modalità di fornitura dei dati per la verifica della regolarità contributiva, individuati nell’allegato 1 (per il servizio reso da INPS) o nell’allegato 3 (per il servizio reso da INAIL), in attuazione di quanto previsto dalla vigente normativa in materia ed in conformità ai principi stabiliti dal Codice e dagli standard di sicurezza informatica.

Le Parti sono autorizzate ad accedere ai dati suddetti nel rispetto e nei limiti delle finalità istituzionali perseguite e della base normativa che le legittima per l’acquisizione delle informazioni individuate in premessa.

 

Articolo 2

Definizioni

 

Nell’ambito del testo e degli allegati alla presente convenzione si intendono per:

1. "Codice": il codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n.196 così come integrato e modificato dal D. Lgs. n. 101/2018;

2. "Dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

3. "Dati", le informazioni contenute negli archivi informatici dell’Istituto o dell’INAIL;

4. "Fornitore dei dati", rappresentato alternativamente dall’INPS o dall’ INAIL, è il soggetto titolare dei dati oggetto di interscambio;

5. "Fruitore dei dati", rappresentato alternativamente dall’INPS o dall’INAIL è il soggetto destinatario dei dati oggetto di interscambio;

6. "CAD": il codice dell’Amministrazione Digitale di cui al decreto legislativo del 7 marzo 2005, n. 82, pubblicato sulla Gazzetta ufficiale n. 112 del 16 maggio 2005, a seguito della delega al Governo contenuta all'articolo 10 della legge 29 luglio 2003, n. 229 (Legge di semplificazione 2001), e successive modificazioni;

7. "Convenzione": il presente atto convenzionale;

8. "Responsabile della Convenzione": soggetto preposto da ciascuna delle Parti alla gestione dei rapporti e delle comunicazioni inerenti alla Convenzione;

9. "Referente tecnico": soggetto, nominato dalle Parti in sede di stipula della Convenzione e preposto all’attivazione e alla successiva gestione operativa dello scambio dati nonché alla corretta applicazione delle regole di sicurezza tecnico-organizzative previste in Convenzione;

10. "Supervisore": soggetto nominato da ciascun Ente fruitore dei dati e preposto al monitoraggio e controllo del loro utilizzo da parte degli utenti dei rispettivi Enti di appartenenza;

11. "Soggetto aderente": il soggetto esterno che richiede l’accesso ai servizi DURC erogati da INPS ed INAIL.

 

Articolo 3

Figure di riferimento per l’attuazione della convenzione

 

Ai fini della corretta applicazione di quanto previsto nella convenzione, ciascuna delle Parti nomina un proprio Responsabile della Convenzione quale rappresentante preposto alla gestione dei rapporti e delle comunicazioni tra le Parti per la gestione del documento convenzionale, nonché un proprio Referente tecnico responsabile, in particolare, dell’attivazione e della successiva gestione operativa dello scambio dati nonché della corretta applicazione delle regole di sicurezza tecnico-organizzative previste nella convenzione.

L’Ente nomina un Supervisore, preposto al monitoraggio e controllo dell'utilizzo dei dati da parte degli utenti incaricati. Rientra nei compiti del Supervisore comunicare al fornitore dei dati eventuali abusi, anomalie e/o utilizzi non conformi ai fini istituzionali.

I nominativi ed i recapiti delle figure di riferimento per l’attuazione della convenzione saranno scambiati tra le Parti con note via PEC successivamente alla sottoscrizione della convenzione da parte del soggetto aderente.

 

Articolo 4

Criteri tecnici per la fruibilità dei servizi resi disponibili

 

Le Parti accedono reciprocamente ai dati previsti in convenzione attraverso le modalità e le misure di sicurezza riportate nell’ allegato 2.

 

Articolo 5

Allegati alla Convenzione

 

Allegato 1 - DurcOnLine: Cooperazione Applicativa - Specifiche Tecniche riporta i dati di input/output riguardanti i flussi di comunicazione;

Allegato 2 - Criteri tecnici per la comunicazione dei flussi di dati riporta le specifiche dei flussi di dati trasmessi dalle Parti.

Allegato 3 - DURC On Line - Cooperazione applicativa INAIL riporta i dati di input/output riguardanti i flussi di comunicazione;

Gli allegati 1 e 3 sono alternativi.

 

Articolo 6

Misure di sicurezza e responsabilità

 

Le Parti si impegnano a trattare i dati personali osservando le misure di sicurezza e i vincoli di riservatezza previsti dal Regolamento UE e dal D. Lgs. n. 196/2003, così come integrato e modificato dal D. Lgs. n. 101/2018 ossia in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

In quanto gli allegati sono parte sostanziale della Convenzione, le Parti si impegnano a rispettare i limiti e le condizioni di accesso riportati all’interno dei citati allegati volti ad assicurare la protezione dei dati personali, ai sensi della normativa vigente e garantiscono il corretto accesso ai dati oggetto della Convenzione.

Laddove si renda necessario, per esigenze organizzative e di sicurezza e/o per adeguamento a modifiche legislative, interrompere il flusso dati le Parti concorderanno tempestivamente, per il tramite dei Responsabili della Convenzione, modalità alternative di accesso ai dati.

INAIL/INPS rendono disponibili i dati anche personali come risultano al momento dell’interrogazione e non assumono responsabilità per la mancanza di aggiornamenti che non dipendano dalle stesse, per variazioni che possono successivamente intervenire e per danni diretti e/o indiretti, nonché per eventuali interruzioni dell’accesso non preventivamente pianificabili.

Le Parti annualmente verificano il mantenimento dei presupposti e dei requisiti per l’accesso ai dati.

Le Parti si impegnano altresì ad adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza parametrato al rischio ai sensi dell’art. 32 del Regolamento.

 

Articolo 7

Trattamento dei dati

 

Le Parti, per quanto di rispettiva competenza, si vincolano alla scrupolosa osservanza delle disposizioni contenute nel Regolamento UE e nel D. Lgs. n. 196/2003, così come integrato e modificato dal D. Lgs. n. 101/2018, con particolare riferimento a ciò che concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell'Autorità Garante per la protezione dei dati personali.

Le Parti si impegnano affinché i dati siano utilizzati limitatamente ai trattamenti strettamente connessi agli scopi di cui alla presente Convenzione e non siano divulgati, comunicati, ceduti a terzi, né in alcun modo riprodotti al di fuori dei casi previsti dalla legge.

Le Parti si impegnano a garantire un livello di sicurezza adeguato, assicurando che i dati personali siano trattati in modo lecito, corretto e trasparente secondo quanto disposto dagli artt. 5 e 6 del citato Regolamento UE, nonché l’adozione al proprio interno di tutte le regole di sicurezza relative alla gestione delle credenziali di accesso ai dati.

Le Parti si impegnano ad informarsi reciprocamente e tempestivamente in caso di problemi tecnici che possano compromettere l’erogazione complessiva del servizio.

Ciascuna delle Parti provvederà, pertanto, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, ad impartire precise e dettagliate istruzioni agli addetti al trattamento che, espressamente designati, opereranno sotto la loro autorità in qualità di persone autorizzate e avranno accesso ai dati stessi.

Le Parti garantiscono, altresì, che l’accesso alle informazioni sia consentito esclusivamente a soggetti che siano stati designati quali responsabili o persone autorizzate incaricate del trattamento dei dati, ferma restando la responsabilità personale derivante dall’uso illegittimo dei dati.

Il soggetto aderente si impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso.

Il soggetto aderente di impegna a collaborare nell’espletamento di eventuali attività di controllo previste per verificare il rispetto dei vincoli di utilizzo dei servizi nonché offrire la propria collaborazione nell’ espletamento delle eventuali attività di controllo.

Il soggetto aderente si impegna a conservare le informazioni ricevute per il tempo strettamente necessario ad effettuare le verifiche a cui lo scambio dati è finalizzato e contestualmente a cancellare i dati ricevuti, non appena siano state utilizzate le informazioni secondo le finalità dichiarate.

Ciascuna delle Parti comunicherà tempestivamente all’altra le violazioni di dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati, che possano avere un impatto significativo sui dati personali, in modo che ciascuna amministrazione, nei termini prescritti, possa effettuare la dovuta segnalazione di c.d. "data breach" al Garante per la protezione dei dati personali.

 

Articolo 8

Tracciamento degli accessi e controlli

 

Ciascuna delle Parti si impegna a comunicare ai propri incaricati del trattamento che, secondo quanto previsto dall’art. 31 del Codice, l’altra Parte procede al tracciamento dell’accesso ai dati tramite registrazioni che consentono di verificare a posteriori le operazioni eseguite da ciascun operatore autorizzato.

Le Parti congiuntamente, ai sensi di quanto previsto dall’allegato 2 alla presente convenzione, svolgono il controllo, anche a campione, del rispetto delle corrette modalità di accesso stabilite da questa convenzione.

A fronte di eventuali anomalie riscontrate il fruitore dei dati consentirà verifiche puntuali sulla legittimità degli accessi e si impegna a dare al fornitore dei dati tutti i chiarimenti o la documentazione che si rendesse necessaria a seguito dell’attivazione dei controlli previsti dal precedente comma.

 

Articolo 9

Clausola di recesso

 

La mancata ottemperanza ai vincoli di accesso ai dati costituisce causa di recesso dalla Convenzione e di immediata sospensione dei flussi di dati a seguito di formale comunicazione.

Le Parti concordano che la Convenzione trova inoltre immediata conclusione laddove vengano meno le finalità definite in premessa.

 

Articolo 10

Modalità operative e limiti quantitativi

 

Le modalità di adesione all’accordo quadro saranno pubblicate sui siti istituzionali di INPS ed INAIL.

E’ prevista in ogni caso la possibilità di inviare via PEC la richiesta di adesione con indicazione della base normativa e delle finalità istituzionali ad una delle seguenti PEC:

- dcod@postacert.inail.it

- dc.organizzazioneecomunicazione@postacert.inps.gov.it

Gli Enti fornitori del servizio si riservano di differire i riscontri alle richieste operative di verifica dei certificati che verranno inoltrate dai soggetti aderenti in caso di elevati livelli quantitativi contemporanei di richieste dati provenienti dai diversi fruitori, tali da incidere sulle funzionalità degli applicativi e dei relativi sistemi tecnologici.

Gli Enti fornitori del servizio si riservano altresì di comunicare ai soggetti aderenti eventuali variazioni degli allegati tecnici derivanti dalla manutenzione evolutiva degli applicativi.

 

Articolo 11

Durata

 

La Convenzione ha durata triennale a decorrere dalla data di sottoscrizione e può essere rinnovata, su concorde volontà delle Parti, da manifestarsi con scambio di comunicazione tra le stesse a mezzo PEC.

 

Articolo 12

Composizione della Convenzione e valore delle premesse

 

La Convenzione si compone di 12 (dodici) articoli e 2 allegati.

Le Parti convengono che le premesse, i contenuti e gli allegati alla Convenzione ne costituiscono parte integrante e sostanziale.

 

Allegato 1

(Specifiche tecniche servizio in cooperazione Durc online Inps)

 

Allegato 2

Criteri tecnici per la comunicazione dei flussi di dati

 

COOPERAZIONE APPLICATIVA

a) Modalità di fruizione

La comunicazione dei dati in modalità cooperazione applicativa avviene esclusivamente tramite gli standard SPCOOP attraverso Porte di Dominio (PDD).

 

b) Regole di sicurezza

1) Modalità di accesso

L’accesso ai dati resi disponibili dalla PDD INPS/INAIL è consentito solo attraverso un processo di mutua autenticazione SSL attraverso i certificati identificanti le PDD e dunque attraverso il protocollo HTTPS.

2) Tracciamento degli accessi

Al fine di consentire il tracciamento degli accessi le Parti dovranno comunicare, per ogni consultazione, un codice identificativo univoco dell’operatore che ha determinato la chiamata. Il suddetto codice identificativo deve essere riferito univocamente al singolo utente incaricato del trattamento che ha dato origine alla transazione; le Parti, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’incaricato del trattamento direttamente identificabile), devono in ogni caso garantire la possibilità, su richiesta della Parte interessata, di identificare l’utente nei casi in cui ciò si renda necessario.

3) Vincoli e restrizioni

L’accesso sarà consentito esclusivamente dall’IP pubblico utilizzato dalla porta di dominio delle Parti.

 

Allegato 3

(Procedura Inail Flussi di dati oggetto di comunicazione verso l'Ente)