INPS – Messaggio 08 ottobre 2020, n. 3608 – Deliberazione del Consiglio di Amministrazione n. 25 del 17 giugno 2020. Schema di convenzione tra la Regione/Provincia autonoma e l’INPS per l’erogazione degli importi relativi all’attuazione dell’articolo 44, comma 6-bis, del D.lgs n. 148/2015 finalizzati ad azioni di politica attiva – Proroga

INPS – Messaggio 08 ottobre 2020, n. 3608

Deliberazione del Consiglio di Amministrazione n. 25 del 17 giugno 2020. Schema di convenzione tra la Regione/Provincia autonoma e l’INPS per l’erogazione degli importi relativi all’attuazione dell’articolo 44, comma 6-bis, del D.lgs n. 148/2015 finalizzati ad azioni di politica attiva – Proroga

Con la determinazione presidenziale 8 novembre 2017, n. 164, è stato approvato lo schema di convenzione che regolamenta la corresponsione da parte dell’INPS, per conto delle Regioni/Province autonome, dell’importo per l’intervento di politica attiva del lavoro finanziato con le risorse di cui all’articolo 44, comma 6-bis, del decreto legislativo 14 settembre 2015, n. 148, in favore dei soggetti individuati dalla Regione/Provincia autonoma come destinatari delle citate misure. Tale schema è stato illustrato con la circolare n. 6 del 18 gennaio 2018.

Poiché la convenzione aveva validità fino al 31 dicembre 2019, a fronte delle esigenze delle Regioni/Province autonome che non avevano ancora attivato la citata tipologia d’intervento, si è reso necessario estenderne la durata. Pertanto, il nuovo schema di convenzione, approvato con deliberazione del Consiglio di Amministrazione n. 25 del 17 giugno 2020 (Allegato n. 1), ha validità dalla data di sottoscrizione fino al 31 dicembre 2022, salvo proroghe, e comunque nel limite delle risorse finanziarie comunicate all’INPS dalla Regione/Provincia autonoma. L’Istituto potrà comunque procedere, anche oltre tale data, al completamento dei pagamenti a favore dei nominativi pervenuti entro i termini di vigenza del nuovo schema.

Sono stati altresì adeguati i costi di servizio ed è stata aggiornata la parte relativa al trattamento dei dati personali e della Privacy. Restano invece inalterati gli adempimenti delle Parti, il regime fiscale e il contenzioso.

Allegato

Tra la Regione/Provincia autonoma ____________________ e l’INPS per l’erogazione degli importi relativi all’attuazione dell’articolo 44, comma 6-bis del decreto legislativo n. 148/2015 finalizzati ad azioni di politica attiva avviate dalle Regioni/Province autonome.

Articolo 1

Oggetto e finalità della Convenzione

1. La presente Convenzione disciplina le modalità con cui l’INPS eroga, per conto della Regione/Provincia autonoma, l’importo per l’intervento di politica attiva del lavoro finanziato con le risorse di cui al decreto legislativo 14 settembre 2015 n. 148, articolo 44, comma 6-bis, in favore dei soggetti individuati esclusivamente dalla Regione/Provincia autonoma come destinatari delle citate misure.
2. L’attività di erogazione dell’importo legato alla misura di politica attiva viene affidata all’INPS, previo invio dell’elenco dei beneficiari individuati dalla Regione/Provincia autonoma, con l’indicazione dell’importo spettante e del periodo di attività in base alle specifiche di cui al successivo articolo 2.

Articolo 2

Adempimenti delle Parti

1. La Regione/Provincia autonoma individua, previa istruttoria dei requisiti dalla stessa stabiliti, i beneficiari dell’azione di politica attiva e comunica all’INPS l’elenco dei soggetti aventi titolo a fruirne, e gli altri dati necessari per l’erogazione degli importi in argomento, nei limiti degli importi indicati in premessa, secondo le modalità telematiche comunicate alla Regione/Provincia autonoma. La Regione/Provincia autonoma, in ogni caso, si assume l’onere di controllare la correttezza e completezza dei dati anagrafici, comprensivi di codice fiscale validato dal fisco, del codice IBAN (ove indicato), dell’indirizzo del destinatario presso il quale sarà inviato l’eventuale bonifico domiciliato, del codice di avviamento postale del beneficiario, nonché dell’importo dell’azione di politica attiva spettante a ciascun beneficiario e del relativo periodo di riferimento.
2. L’INPS, in qualità di ente pagatore, si impegna ad effettuare le disposizioni di pagamento inviate dalla Regione/Provincia autonoma, nei limiti degli importi indicati in premessa, entro 30 giorni dalia ricezione della richiesta da parte della stessa, verificando la sola esistenza in vita del beneficiario della misura, e non assumendosi responsabilità alcuna relativamente ad eventuali pagamenti effettuati erroneamente dietro indicazione della Regione/Provincia autonoma. Si precisa, inoltre, che l’Istituto non svolgerà attività di recupero degli eventuali indebiti, né assumerà responsabilità alcuna in presenza di contenzioso amministrativo o giudiziario. Tali attività sono di competenza della Regione/Provincia autonoma.
3. Previa comunicazione all’INPS, la Regione/Provincia autonoma potrà erogare prestazioni ulteriori rispetto gli importi indicati in premessa, con risorse a proprio carico e previa costituzione di specifica provvista da accreditare sulla contabilità speciale di Tesoreria della Direzione Regionale (IBAN). L’Istituto si impegna, anche in questo caso, previa verifica della provvista, ad effettuare le disposizioni di pagamento inviate dalla Regione/Provincia autonoma, entro 30 giorni dalla ricezione della richiesta da parte della stessa, con le stesse modalità e limiti di cui al precedente comma 2.
4. Eventuali ritardi nei pagamenti derivanti da una trasmissione da parte della Regione/Provincia autonoma non conforme nei dati e nelle modalità a quanto stabilito dall’Istituto e comunicato alla Regione/Provincia autonoma, non potranno essere imputati all’Istituto.
5. Resta escluso, per l’Istituto, qualunque controllo in ordine alla sussistenza, in capo ai beneficiari, dei requisiti per l’erogazione dell’importo concesso.

Articolo 3

Regime fiscale

1. L’INPS, in qualità di sostituto d’imposta, provvede ad applicare il regime fiscale stabilito dalla normativa vigente per la tipologia di prestazione erogata. In particolare, l’Istituto è tenuto ad effettuare, ove previsto, all’atto del pagamento ai sensi dell’articolo 23 del D.P.R. 16 ottobre 1973, n. 600, le ritenute Irpef, le detrazioni fiscali relative al periodo di lavoro nonché il conguaglio fiscale di fine anno, con il conseguente rilascio della Certificazione Unica dei redditi.

Articolo 4

Monitoraggio e rendicontazione

1. L’INPS si impegna a fornire al Ministero dei Lavoro e delle Politiche Sociali ed alla Regione/Provincia autonoma, mensilmente e a richiesta, il dettaglio dei singoli pagamenti, o qualsiasi altro documento equivalente, necessario ad attestare l’erogazione dell’importo in esame a favore dei singoli beneficiari, al fine di permettere l’avvio delle procedure di controllo e rendicontazione della spesa.
2. L’INPS recupera gli importi erogati su disposizione della Regione/Provincia Autonoma, attraverso il versamento da parte del Ministero del Lavoro e delle Politiche sociali, a valere sulle risorse del “Fondo Sociale Occupazione e Formazione” di cui all’articolo 18, comma 1, lettera a) del decreto-legge 29 novembre 2008, n. 185, convertito con modificazioni dalla legge 28 gennaio 2009, n. 2, sulla base della rendicontazione annuale resa dall’Istituto. La Regione/Provincia autonoma risulta garante dell’effettivo recupero delle somme da parte dell’Istituto.
3. Qualora la Regione/Provincia autonoma comunichi di voler erogare interventi di politica attiva ulteriori, rispetto a quelli indicati in premessa, e previo conferimento anticipato della provvista, l’INPS procederà a fornire mensilmente e a richiesta della medesima il dettaglio dei singoli pagamenti.

Articolo 5

Rimborso spese

1. La Regione/Provincia autonoma riconosce all’INPS 4,84 euro, per ogni pagamento effettuato nei confronti dei singoli beneficiari, a titolo di rimborso spese per l’erogazione del servizio; detto importo è esente da IVA, ai sensi dell’articolo 10 comma 1, punto 1 del D.P.R. 26 ottobre 1972, n. 633 e sarà erogato dietro presentazione di fattura elettronica da parte dell’INPS, emessa a cura della Direzione Regionale.
2. All’atto dei pagamenti, la Regione/Provincia autonoma è tenuta a non effettuare la verifica dell’inadempienza di cui all’articolo 48-bis del D.P.R. 16 ottobre 1973, n. 602 trattandosi di pagamenti tra pubbliche amministrazioni, in base a quanto previsto dalle circolari del Ministero dell’Economia e delle Finanze – Dipartimento RGS n. 22/2008 e n. 13/2018. In caso di pignoramento del credito da parte dell’Agente della riscossione, conseguente all’inosservanza della predetta prescrizione, il pagamento si considera non effettuato ed il credito dell’INPS non soddisfatto per la parte oggetto di pignoramento.

Articolo 6

Contenzioso

1. Le istanze ed ì reclami derivanti dall’attuazione dei presente Accordo sono di competenza esclusiva della Regione /Provincia autonoma e devono essere presentate dagli interessati esclusivamente agli Uffici competenti della Regione/Provincia autonoma.
2. Per le eventuali controversie giudiziarie volte ad ottenere il riconoscimento dell’indennità di cui alla presente Convenzione, la Regione/Provincia autonoma è l’unico soggetto titolare della legittimazione passiva.

Articolo 7

Referenti della Convenzione

Con successive note le Parti individueranno i referenti della presente Convenzione e gli indirizzi PEC per le comunicazioni istituzionali.

Articolo 8

Trattamento dati personali

Per i servizi della Provincia autonoma/Regione resi da INPS, Titolare del trattamento dei dati è la Regione medesima che, ai sensi dell’articolo 28 del Regolamento UE, nomina INPS quale “Responsabile del trattamento”, come da allegato Atto di nomina (Allegato 1).

Dalla sottoscrizione dell’Atto di nomina il Responsabile del trattamento designato si vincola alla scrupolosa osservanza, oltre che delle apposite istruzioni ricevute dal Titolare (Regione) – a partire da quelle contenute nello stesso Atto di nomina e, successivamente, di quanto a tal fine indicato dal Titolare – delle disposizioni contenute nel Regolamento UE, in particolare per quanto concerne le modalità con cui effettuare le operazioni affidate, la sicurezza dei dati oggetto del trattamento, gli adempimenti e le responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante.

INPS, in qualità di Responsabile del trattamento, assicura che i dati personali vengano utilizzati per fini non diversi da quelli previsti dalle disposizioni normative vigenti e limitatamente ai trattamenti strettamente connessi agli scopi di cui alla presente Convenzione nell’ambito delle condizioni di liceità richiamate a fondamento della stessa.

Ai sensi dell’articolo 5 del Regolamento UE, i dati dovranno essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

È fatto divieto ad INPS di utilizzare i dati per scopi diversi da quelli previsti dalla presente Convenzione, nonché da quelli consentiti dalla normativa vigente in materia di consultazione delle banche dati, con particolare riferimento alla tutela della riservatezza delle persone. L’INPS assicura, altresì, che i dati medesimi non siano divulgati, comunicati, ceduti a terzi, né in alcun modo riprodotti.

In conformità a quanto al precedente comma, l’INPS avrà cura di designare i propri operatori quali “Persone autorizzate”.

L’INPS, in qualità di “Responsabile del trattamento”:

a) impartisce precise e dettagliate istruzioni alle “Persone autorizzate” e, in tale ambito, provvede a richiamare l’attenzione sulle responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle funzionalità dei collegamenti;

b) a norma dell’articolo 28, paragrafo 3, lett. b) del Regolamento UE, garantisce che le “Persone autorizzate” al trattamento dei dati siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) detiene un elenco nominativo aggiornato delle persone fisiche autorizzate, recante altresì l’indicazione dei trattamenti affidati e dei relativi profili di autorizzazione di accesso ai dati;

d) è autorizzato a ricorrere ad altro Responsabile per il trattamento ai sensi dell’articolo 28, paragrafo 2, del Regolamento UE.

L’INPS procede al tracciamento dell’accesso ai dati tramite registrazioni che consentono di verificare a posteriori le operazioni eseguite da ciascun operatore autorizzato.

Le Parti assicurano piena collaborazione e procedono allo scambio tempestivo di ogni informazione utile in ordine a qualsiasi violazione dei dati o incidenti informatici, eventualmente occorsi nell’ambito dei trattamenti effettuati, che possano avere un impatto significativo sui dati personali, in modo che si adempia, nei termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personali in osservanza di quanto disposto dall’articolo 33 del Regolamento UE e dal Provvedimento n. 157 del 30 luglio 2019 dell’Autorità Garante.

Articolo 9

Durata

La presente Convenzione ha validità dalla data di sottoscrizione fino al 31 dicembre 2022, salvo proroghe, e comunque nel limite delle risorse finanziarie comunicate all’INPS dalla Regione/Provincia autonoma.

L’Istituto potrà comunque procedere, anche oltre tale data, ai completamento dei pagamenti a favore dei i nominativi pervenuti entro i termini di vigenza della presente Convenzione.

Atto giuridico di nomina quale responsabile del trattamento dei dati personali ai sensi dell’articolo 28 del regolamento ue 2016/679

Disciplina dei trattamenti: compiti e istruzioni per il Responsabile del trattamento

Articolo 1

Compiti dei Responsabile del trattamento

1.1. Il Titolare affida al Responsabile le operazioni di trattamento dei dati personali – anche appartenenti alle “categorie particolari di dati personali” ai sensi dell’articolo 9 del Regolamento UE – di cui all’articolo 1 della Convenzione, esclusivamente per le finalità indicate nella medesima.

1.2. Il Responsabile conferma la sua diretta ed approfondita conoscenza degli obblighi che assume in relazione alle disposizioni contenute nel Regolamento UE ed assicura che la propria struttura organizzativa è idonea ad effettuare il trattamento dei dati di cui alla Convenzione nel pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza e si impegna a realizzare, ove mancante, tutto quanto ritenuto utile e necessario per il rispetto e l’adempimento di tutti gli obblighi previsti dal Regolamento UE, nei limiti dei compiti che gli sono affidati.

1.3. Il Responsabile si vincola a comunicare al Titolare qualsiasi mutamento delle garanzie offerte o gli elementi di valutazione in ordine all’incertezza del mantenimento delle stesse, con riferimento all’adozione delle misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE e garantisca la tutela dei diritti dell’interessato, considerato che la sussistenza di tali garanzie è presupposto per la presente nomina a Responsabile e per il suo mantenimento.

1.4. Il Titolare comunicherà al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. II Responsabile e i soggetti autorizzati al trattamento sotto la sua diretta autorità non potranno effettuare nessuna operazione di trattamento dei dati, compresi anche quelli appartenenti alte “categorie particolari di dati personali” ai sensi dell’articolo 9 del Regolamento UE, al di fuori delle regole previste nella Convenzione e osserveranno, in ogni fase del trattamento, il rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, sanciti dall’articolo 5 del Regolamento UE.

Articolo 2

Modalità di espletamento dei compiti

2.1 II Responsabile si impegna a trattare i dati personali solo per le finalità e i tempi strettamente necessari all’erogazione dei servizi forniti per conto del Titolare, come previsti nella Convenzione, nel pieno rispetto sia della normativa vigente – con particolare riguardo alle norme del Regolamento UE – sia delle istruzioni fornite dal Titolare, a cominciare da quelle indicate nel presente Atto, nonché le ulteriori eventualmente contenute in successive comunicazioni che, a tale fine, gli saranno formalizzate dal Titolare.

2.2 II Responsabile avrà particolare riguardo ad attenersi alle modalità indicate dal Titolare per effettuare le operazioni affidate, alla tutela della sicurezza dei dati oggetto del trattamento, agli adempimenti e alle responsabilità nei confronti degli interessati, dei terzi e del Garante.

2.3 Laddove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare, anche per caso fortuito o forza maggiore, deve tempestivamente informare il Titolare per concordare eventuali ulteriori misure di protezione. In tali casi, comunque, il Responsabile adotterà tempestivamente ogni possibile e ragionevole misura di salvaguardia.

2.4 II Responsabile si impegna ad adottare le misure di sicurezza per la protezione dei dati idonee a garantirne la riservatezza, l’integrità, la disponibilità e la custodia in ogni fase del trattamento così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità dei servizi oggetto della Convenzione. In tale ambito il Responsabile adotta un sistema di sicurezza, anche per l’identificazione ed autenticazione dei soggetti autorizzati alle operazioni sui dati, mettendo in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento in linea con le disposizioni di cui all’articolo 32 del Regolamento UE.

Articolo 3

Persone autorizzate al trattamento

3.1. Il Responsabile assicura che il trattamento affidato sarà svolto esclusivamente da persone preventivamente autorizzate. Il Responsabile si impegna ad individuare e nominare le persone fisiche autorizzate al trattamento dei dati quali “Persone autorizzate”, scegliendo tra i propri dipendenti e collaboratori, che operano sotto la sua diretta autorità, quelli reputati idonei ad eseguire le operazioni di trattamento, nel pieno rispetto delle prescrizioni legislative, impartendo loro, per iscritto, le idonee indicazioni per lo svolgimento delle relative mansioni, con l’assegnazione di apposite credenziali e uno specifico profilo di abilitazione e attraverso la definizione di regole e modelli di comportamento.

3.2 II Responsabile impartisce precise e dettagliate istruzioni alle persone autorizzate e, in tale ambito, provvede a richiamare l’attenzione sulle responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle funzionalità dei collegamenti; in tale ambito, il Responsabile impegna le “Persone autorizzate” al trattamento alla riservatezza anche attraverso l’imposizione di un adeguato obbligo legale di riservatezza.

3.3 II Responsabile deve provvedere, nell’ambito dei percorsi formativi predisposti per i soggetti autorizzati al trattamento dei dati, alla specifica formazione sulle modalità di gestione sicura e sui comportamenti prudenziali nella gestione dei dati personali, specie con riguardo all’obbligo legale di riservatezza cui gli stessi sono soggetti.

3.4 II Responsabile, in osservanza dell’articolo 32, paragrafo 4, del Regolamento UE, assicura che chiunque agisca sotto la sua autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Articolo 4

Controlli e tracciamento degli accessi

4.1 II Titolare del trattamento eseguirà controlli, anche a campione, finalizzati ad una verifica della puntuale applicazione delle istruzioni impartite al Responsabile nonché della conformità delle operazioni di trattamento alla normativa dì riferimento in materia. Qualora tali controlli implichino l’accesso ai locali del Responsabile, quest’ultimo si impegna a consentire l’accesso ai rappresentanti del Titolare, salvo preavviso di almeno cinque giorni lavorativi. Detti controlli si svolgeranno con modalità tali da non interferire con la regolare attività del Responsabile.

4.2 II Responsabile tiene traccia dell’accesso ai dati e delle operazioni svolte dalle “Persone autorizzate” e fornisce le evidenze al Titolare nel caso in cui quest’ultimo ne faccia richiesta.

Articolo 5

Registro dei trattamenti e nomina RPD

5.1 II Responsabile tiene il registro di tutte le categorie di attività relative al trattamento svolto per conto del Titolare contenente gli elementi di cui all’articolo 30, paragrafo 2, del Regolamento UE.

5.2 II Responsabile, nel rispetto dell’articolo 37 del Regolamento UE, ha designato, con determinazione del Presidente dell’INPS n. 53 del 7 aprile 2020, Il Responsabile della protezione dei dati, i cui estremi e dati di contatto sono pubblicati sul sito internet istituzionale dell’Istituto.

Articolo 6

Comunicazione e diffusione dei dati

6.1 II Responsabile, al di fuori dei casi previsti da specifiche norme di legge, non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del Titolare.

Articolo 7

Obblighi di collaborazione con il Titolare

7.1 II Responsabile si impegna a comunicare tempestivamente al Titolare qualsiasi richiesta di esercizio dei diritti dell’interessato ricevuta ai sensi degli artt. 15 e seguenti del Regolamento UE, per consentirne l’evasione nei termini previsti dalia legge, e ad avvisarlo immediatamente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte del Garante, fornendo, per quanto di competenza, il supporto eventualmente richiesto.

7.2 II Responsabile, a norma dell’articolo 33, paragrafo 2, del Regolamento, deve informare senza ritardo il Titolare, fornendo ogni informazione utile, in caso di violazione dei dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati per conto dell’Istituto, che possano avere un impatto significativo sui dati personali, in modo che il titolare medesimo adempia, nei termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personali in osservanza di quanto disposto nel Provvedimento 157 del 30 luglio 2019.

7.3 II Responsabile, tenendo conto della natura del trattamento e delle informazioni di cui dispone, deve assistere il Titolare nei garantire il rispetto di tutti gli obblighi di cui agli artt. da 32 a 36 del Regolamento UE. In particolare, conformemente all’articolo 28, paragrafo 3, lett. f) del Regolamento UE, deve assistere il Titolare nell’esecuzione della valutazione d’impatto sulla protezione dei dati e fornire tutte le informazioni necessarie.

Articolo 8

Ulteriori disposizioni

8.1 II Responsabile adotta tutte le necessarie misure e gli accorgimenti circa le funzioni di “amministratori di sistema” in conformità al Provvedimento Generale del Garante del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009; in particolare, designa individualmente per iscritto gli “amministratori di sistema” (e funzioni assimilate), con elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, attribuendo tali funzioni previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato. Il Responsabile conserva l’elenco degli amministratori di sistema, con gli estremi identificativi e le funzioni loro attribuite e, qualora richiesto, comunica tale elenco al Titolare.

Articolo 9

Disposizioni finali

9.1 Con la sottoscrizione del presente Atto, il Responsabile accetta la nomina attenendosi alle istruzioni ivi indicate e alle disposizioni di legge ed eventuali successive modifiche ed integrazioni e ad ogni altra normativa vigente in materia di protezione di dati personali.

9.2 Fatta eccezione per quanto diversamente previsto, il presente Atto di Nomina cesserà, comunque, di produrre i suoi effetti al termine dell’erogazione del servizio oggetto della Convenzione.

9.3. Per tutto quanto non espressamente previsto nel presente Atto e nella Convenzione, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali.