COMUNE DI CIVITANOVA MARCHE

(1)

COMUNE DI CIVITANOVA MARCHE

PROVINCIA DI MACERATA

REGOLE ORGANIZZATIVE E TECNICHE

PER L’ACCESSO TELEMATICO E IL RIUTILIZZO DEI DATI GESTITI DAL COMUNE DI CIVITANOVA MARCHE

1 – Glossario

Termine Definizione

Accessibilità telematica ai dati

Proprietà dei sistemi informatici mediante la quale viene data la possibilità, a soggetti esterni all’amministrazione titolare, di fruire attraverso una rete telematica di specifici dati. L'accesso, di solito limitato ad utenti autorizzati, può essere effettuato sia da persone sia da sistemi.

Amministrazione titolare (o erogatore)

L’amministrazione che ha la responsabilità della raccolta del dato e del suo trattamento e che mette a disposizione i relativi servizi di accesso, sulla base delle convenzioni da essa predisposte, in ottemperanza a quanto previsto dall’articolo 58, comma 2, del CAD.

Nel caso specifico, l’Amministrazione titolare è il Comune di Civitanova Marche.

Amministrazione richiedente (o fruitore)

L’amministrazione che accede ai dati resi disponibili dall’amministrazione titolare, secondo le regole e le modalità definite nella convenzione cui la stessa amministrazione richiedente aderisce.

Base di dati (o banca dati) Insieme di dati omogenei, di interesse rilevante per una o più unità organizzative, memorizzati in uno o più archivi informatici, organizzati ed accessibili mediante uno strumento software (ad es. sistemi di gestione di basi di dati)

Codice della privacy Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni ed integrazioni.

CAD Codice dell’Amministrazione Digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni ed integrazioni.

Dato delle pubbliche amministrazioni

Il dato formato, o comunque trattato da una pubblica amministrazione (art.1 CAD).

Dato personale Qualunque informazione relativa a persona fisica,

(2)

COMUNE DI CIVITANOVA MARCHE

identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4 Codice privacy).

Dato pubblico Il dato conoscibile da chiunque (art.1 CAD).

Dati sensibili I dati personali idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo

stato di salute e la vita sessuale (art. 4 Codice privacy).

Disponibilità (dei dati) La possibilità di accedere ai dati senza restrizioni non riconducibili a esplicite norme di legge (art. 1 CAD)

Fruibilità di un dato La possibilità di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un'altra amministrazione (art.1 CAD).

Posta elettronica certificata (PEC)

Sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi (art. 1 CAD).

2 – Modalità di accesso

2.1 Principali modalità di accesso.

La consultazione telematica dei dati messi a disposizione dall’Amministrazione titolare prevede le seguenti opzioni tecniche per la fruibilità dei dati:

- accesso via web, attraverso il sito istituzionale dell’erogatore o un sito tematico all’uopo predisposto;

- accesso in modalità di cooperazione applicativa, componente del sistema pubblico di connettività finalizzata all'interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi.

La modalità di accesso via web sarà consentita previa autenticazione da parte dei soggetti autorizzati. L’indirizzo di connessione verrà comunicato agli utenti utilizzatori insieme all’invio delle credenziali di accesso.

L’Amministrazione titolare si riserva di modificare l’indirizzo di connessione e si impegna a comunicarne le variazioni agli Enti fruitori.

(3)

COMUNE DI CIVITANOVA MARCHE

Le credenziali fornite ai soggetti incaricati consentiranno loro di accedere al sistema e di consultare i dati resi disponibili. Le modalità di accesso verranno descritte nei paragrafi successivi e nelle istruzioni operative che verranno inviate via email insieme alle credenziali.

2.2 Modalità d’accesso alternative e transitorie.

Fermo restando le modalità di accesso telematico definite al punto precedente, che devono considerarsi quelle di riferimento ai fini dell'attuazione delle norme in materia di fruibilità dei dati, le amministrazioni possono utilizzare modalità alternative, laddove si presentino documentabili vantaggi economici o la situazione infrastrutturale e organizzativa non consenta l’adozione di quelle sopra riportate. Le predette circostanze devono essere adeguatamente documentate all'Agenzia per l'Italia Digitale e richiamate in convenzione. In tali casi, le modalità di accesso telematico prevedibili sono:

- la posta elettronica certificata, nei casi specifici, quando la periodicità di acquisizione del dato è limitata (in linea di massima una volta all’anno o meno) e la quantità dei dati da acquisire è contenuta;

- soluzioni di “Trasferimento di File” in modalità FTP “sicuro” o equivalente dal punto di vista della sicurezza del trasporto, qualora preesistenti investimenti, la natura stessa delle richieste e le specifiche condizioni facciano propendere per tale soluzione garantendo la cifratura del canale di trasmissione dei dati (ad esempio, utilizzando meccanismi quali le reti private virtuali).

3 – Rilascio delle credenziali

La richiesta delle credenziali di accesso per i soggetti designati viene effettuata dal responsabile dell’Amministrazione richiedente (o da un incaricato appositamente individuato) tramite compilazione del documento “Richiesta accesso al Servizio di …...” firmato digitalmente da entrambe le parti e che deve essere inoltrato all’Amministrazione richiedente tramite Posta Elettronica Certificata all'indirizzo PEC istituzionale.

Una volta ricevute le richieste delle credenziali di accesso, l’incaricato designato dall’Amministrazione titolare preparerà i profili di accesso e comunicherà:

• al responsabile designato dall’ente fruitore l’elenco dei codici identificativi (user id) degli utenti abilitati. Insieme all’elenco verranno inviati i moduli di profilazione dei vari utenti,

(4)

COMUNE DI CIVITANOVA MARCHE

che il responsabile dovrà far firmare dagli incaricati al momento della consegna dei codici identificativi e conservare agli atti;

• all’incaricato la password di competenza, che dovrà essere modificata al primo utilizzo.

Insieme alle password di competenza, l’incaricato riceverà le istruzioni per accedere al sistema e consultarlo.

L’Amministrazione richiedente si impegna a comunicare all’Amministrazione titolare ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) nonché ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole riportate nel presente documento e/o la loro perdita di efficacia.

4 – Selezione dei dati

La selezione delle informazioni personali oggetto di accesso deve avvenire nel rispetto dei principi di pertinenza e non eccedenza in relazione a ciascuna delle finalità perseguite dal fruitore.

Il fruitore deve utilizzare le informazioni acquisite esclusivamente per le finalità dichiarate in convenzione, nel rispetto dei principi di pertinenza e non eccedenza, nonché di indispensabilità, per i dati sensibili e giudiziari.

Il fruitore deve, altresì, garantire che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, stabilendo le condizioni per escludere il rischio di duplicazione delle basi dati realizzata anche attraverso l'utilizzo di strumenti automatizzati di interrogazione. A tal fine il fruitore si impegna ad utilizzare i sistemi di accesso ai dati in consultazione via web esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso ad esempio i cosiddetti “robot”) allo scopo, ad esempio, di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso.

Il fruitore deve garantire, inoltre, che l’accesso ai dati verrà consentito esclusivamente a personale o assimilati ovvero a soggetti che siano stati designati dal fruitore quali incaricati o responsabili del trattamento dei dati, impartendo, ai sensi degli artt. 29 e 30 del Codice della Privacy, precise e dettagliate istruzioni, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati, nonché al corretto utilizzo delle funzionalità dei collegamenti.

(5)

COMUNE DI CIVITANOVA MARCHE

5 – Misure di sicurezza

Oltre a garantire il rispetto delle misure minime di sicurezza previste dall’artt. 33 e ss. Codice della Privacy e dal relativo Allegato B, al fine di adempiere agli obblighi di sicurezza di cui all’art.31 del Codice della Privacy nella fruibilità dei dati oggetto della convenzione (sia in caso di accessi via web che di cooperazione applicativa), l’erogatore e il fruitore devono assicurare che:

a. gli accessi alle banche dati avvengano soltanto tramite l’uso di postazioni di lavoro connesse alla rete dell’ente autorizzato e/o dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell’erogatore, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (circuiti privati virtuali);

b. laddove l’accesso alla banca dati dell’erogatore avvenga in forma di web application esposta su rete pubblica (Internet), l’applicazione sia implementata con protocolli di sicurezza provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale;

c. le procedure di registrazione avvengano con il riconoscimento diretto e l’identificazione certa dell’utente;

d. le regole di gestione delle credenziali di autenticazione prevedano, in ogni caso:

• l’identificazione univoca di una persona fisica;

• processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura seguendo una procedura operativa prestabilita, o di accettazione di forme di autenticazione forte quali quelle che prevedono l’uso combinato di one time password o di certificati di autenticazione (CNS o analoghi); che le credenziali siano costituite da un dispositivo in possesso ed uso esclusivo dell’incaricato provvisto di pin o una coppia username/password, ovvero da credenziali che garantiscano analoghe condizioni di robustezza;

e. nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password:

• la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user id), sia modificata dallo stesso al primo utilizzo;

• le password devono rispondere a requisiti di complessità;

• quando l'utente si allontana dal terminale, la sessione deve essere bloccata, anche attraverso eventuali meccanismi di time-out;

(6)

COMUNE DI CIVITANOVA MARCHE

• le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione;

f. devono essere sempre presenti misure di protezione perimetrali logico-fisiche, quali ad esempio firewall e reti private virtuali (VPN);

g. i sistemi software, i programmi utilizzati e la protezione antivirus devono essere costantemente aggiornati sia sui server che sulle postazioni di lavoro;

h. le misure di sicurezza devono periodicamente essere riconsiderate ed adeguate ai progressi tecnici e all'evoluzione dei rischi;

i. la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata;

j. siano introdotti meccanismi volti a permettere il controllo degli accessi al fine di garantire che avvengano nell’ambito di intervalli temporali o di data predeterminati, eventualmente definiti sulla base delle esigenze d’ufficio;

k. in caso di accessi via web deve essere di regola esclusa la possibilità di effettuare accessi contemporanei con le medesime credenziali da postazioni diverse;

l. entrambi si impegnano a comunicare tempestivamente:

• incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la fruibilità di dati oggetto di convenzione;

• ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione online;

• ogni modificazione tecnica od organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate o la loro perdita di efficacia;

m. tutte le operazioni di trattamento di dati personali effettuate dagli utenti autorizzati, ivi comprese le utenze di tipo applicativo e sistemistico, devono essere adeguatamente tracciate.

Al tal fine:

• il fruitore deve fornire all'erogatore, contestualmente ad ogni transazione effettuata, il codice identificativo dell’utenza che ha posto in essere l'operazione;

• il suddetto codice identificativo, anche nel caso in cui l'accesso avvenga attraverso sistemi di cooperazione applicativa, deve essere comunque riferito univocamente al singolo utente incaricato del trattamento che ha dato origine alla transazione;

(7)

COMUNE DI CIVITANOVA MARCHE

• il fruitore, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’incaricato del trattamento direttamente identificabile), deve in ogni caso garantire anche all’erogatore la possibilità, su richiesta, di identificare l’utente nei casi in cui ciò si renda necessario.

6

– Livelli di servizio

L’Amministrazione titolare rende disponibili i dati, secondo predefiniti livelli di servizio, che tengono conto delle proprie esigenze e capacità elaborative e di una ragionevole previsione di soddisfacimento delle esigenze inoltrate dagli enti fruitori.

Il servizio è reso disponibile agli enti fruitori 7 giorni su 7 per tutte le 24 ore.

In caso di interruzioni di servizio al di fuori dei periodi precedentemente indicati è possibile segnalare l’evento al seguente indirizzo di email: sia<at>comune.civitanova.mc.it;

L’Amministrazione titolare non assume alcuna responsabilità per danni di qualsiasi natura, diretti o indiretti, correlati ad eventuali interruzioni tecniche e/o sospensioni del servizio, ascrivibili a problemi tecnici di connessione ad internet, a problemi di rete o a problemi organizzativi comunque determinatisi.

7 – Assistenza

In caso sia necessaria assistenza per problematiche relative alle credenziali di accesso è possibile scrivere all’indirizzo sia<at>comune.civitanova.mc.it; allo stesso indirizzo sarà possibile richiedere interventi di riattivazione del profilo in caso di disabilitazione e modifica password.

8 – Periodicità di aggiornamento dei dati

I dati resi accessibili tramite i sistemi descritti ai punti precedenti garantiscono l’accesso in consultazione ai dati dell’Amministrazione titolare, pertanto tali informazioni sono aggiornate solitamente in tempo reale, salvo cause di forza maggiore.

Comunque l'Amministrazione titolare s’impegna a garantire la completezza e l’aggiornamento dell'informazione al meglio delle proprie possibilità.

(8)

COMUNE DI CIVITANOVA MARCHE

9 – Licenza per il riutilizzo

È vietato ogni utilizzo, anche parziale, del logo dell'Amministrazione titolare, se non preventivamente autorizzato.

Ogni violazione sarà sanzionata a norma di legge.

Le licenze per il riutilizzo dei dati pubblici di cui l'Amministrazione Titolare è pienamente titolare sono predisposte in ottemperanza a quanto previsto dagli artt. 5 e 8 del Decreto Legislativo 36/2006, nonché nel rispetto dei principi sanciti nell’art. 68, c. 3,lett. b) del CAD (come modificato dall’art. 9 del Decreto Legge 18 ottobre 2012, n. 179,come convertito con Legge n. 221 del 17 Dicembre 2012) il quale ribadisce che i “dati aperti” devono esser “disponibili secondo i termini di una licenza che ne permetta l’utilizzo da parte di chiunque, anche per finalità commerciali”. Sono fatte salve le privative dei terzi su eventuali titolarità dei dati.

Ciò premesso e seguendo le linee guida dell’Agid in tema di valorizzazione del patrimonio informativo pubblico, L'Amministrazione titolare ha deciso di adottare una licenza della famiglia creative commons, al fine di rendere i dataset interoperabili con altri dataset internazionali.

La licenza quindi adottata è CC BY 4.0 per tutti i dati, compresi i metadati e la documentazione accompagnatoria. In futuro si valuterà l’opportunità di aggiornare la licenza in accordo con le evoluzioni della stessa a livello internazionale, europeo e in conformità alle linee guida nazionali.

Conformemente a quanto disposto dall'art. 52, comma 2 del CAD, i dati già pubblicati sui siti web dell'Amministrazione Titolare si intendono rilasciati con licenza con Licenza Creative Commons Zero (CC0), ove non sia indicata un’altra licenza.

10 - Sfruttamento economico

L'Amministrazione titolare, coerentemente con i principi sopra descritti e seguendo le esperienze internazionali, ritiene di dover favorire la messa a disposizione in Open Data, a titolo gratuito, dei dati pubblici detenuti, ove ciò sia compatibile con la natura del dato stesso e non comporti la soluzione di problemi tecnici o comunque costi onerosi per L'Amministrazione stessa.

In caso di dataset particolarmente onerosi si adotteranno politiche di tariffazione a costo marginale come previsto dall'art. 9 del D.L. n. 179/2012 e conforme alle indicazioni della nuova Direttiva 2003/98/CE relativa al riutilizzo dell'informazione del settore pubblico e le sue successive

(9)

COMUNE DI CIVITANOVA MARCHE

modificazioni apportate con la Direttiva 2013/37/CE, in quanto afferma che i dati di tipo aperto

“sono resi disponibili gratuitamente attraverso le tecnologie dell’informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione. L’Agenzia per l’Italia digitale può stabilire, con propria deliberazione, i casi eccezionali,

individuati secondo criteri oggettivi, trasparenti e verificabili, in cui essi sono resi disponibili a tariffe superiori ai costi marginali.”

11 - Accordi in esclusiva in materia di riutilizzo

Gli accordi in esclusiva con gli operatori economici che immettono sul mercato prodotti a valore aggiunto basati sui dati oggetto di riutilizzo sono ammessi solo ed esclusivamente quando l’accordo in questione risulti necessario per l’erogazione di un servizio di interesse pubblico, secondo quanto previsto dall'art. 11 del D. Lgs. 36/2006 che fissa il divieto di accordi di esclusiva. Il diritto di esclusiva eventualmente concesso dovrà comunque essere oggetto di riesame con cadenza almeno triennale.

12 - Aggiornamento delle Linee guida

Il presente documento potrà essere modificato per dare conto di eventuali variazioni legislative o per la necessità di mantenere aggiornate le raccomandazioni tecniche rispetto ai processi di innovazione tecnologica e normativa.