INPS – Messaggio 21 luglio 2020, n. 2900

Convenzione quadro per la verifica telematica del giudizio medico-legale di invalidità civile, cecità, sordità, handicap  e disabilità

Con determinazione dell’Organo munito dei poteri del Consiglio di Amministrazione n. 38 del 23 maggio 2019 è stato adottato un modello di convenzione quadro per la verifica telematica del giudizio medico-legale di invalidità civile, cecità, sordità, handicap e disabilità aperta a tutte le pubbliche Amministrazioni che ne abbiano interesse a fini istituzionali (Allegato n. 1).

Con il messaggio n. 2734 del 17 luglio 2019 è stata avviata la sperimentazione del servizio con alcune Amministrazioni centrali e locali.

La fase di sperimentazione si è conclusa con successo, pertanto tutte le Amministrazioni pubbliche e gli Enti locali che concedono prestazioni sociali agevolate e/o benefici di qualunque natura, collegati a un particolare status sanitario, per i territori di rispettiva competenza, possono chiedere alle Direzioni regionali o alle Direzioni di coordinamento metropolitano, competenti per territorio, di convenzionarsi al fine di procedere in autonomia alla verifica dell’autenticità e dell’attualità del verbale cartaceo presentato dall’interessato. Allo stesso fine, le Amministrazioni e gli Enti nazionali possono chiedere il convenzionamento alla Direzione centrale Organizzazione e comunicazione.

Le Amministrazioni convenzionate potranno verificare il giudizio medico-legale e le informazioni desunte dal verbale presentato dall’interessato avvalendosi della funzione “Verifica giudizio di invalidità civile”, nell’ambito dell’applicazione dedicata, denominata “Sistema di Verifiche Giudizio Invalidità Civile” .

Attraverso tale funzione è possibile confrontare i dati immessi con quelli presenti negli archivi dell’Istituto. Qualora si riscontri un nuovo giudizio medico-legale emesso dall’Istituto in un tempo cronologicamente successivo, indipendentemente dalla tipologia di accertamento (prima istanza, aggravamento, verifica straordinaria, ispettorato medico-legale, autotutela), viene indicato il periodo di validità del giudizio sottoposto a verifica; qualora, invece, il verbale non trovi un corrispondente negli archivi, la procedura indica che il giudizio medico-legale in verifica non è valido.

Il servizio potrà essere fornito sia in modalità online che in cooperazione applicativa, tramite chiavi di ricerca complesse legate sia al codice fiscale che a informazioni specifiche presenti nei verbali sanitari acquisiti dalle Amministrazioni richiedenti.

I Direttori regionali e di coordinamento metropolitano avranno cura di comunicare alle Amministrazioni interessate l’opportunità di convenzionarsi e potranno fornire indicazioni sulle modalità di accesso e sulla profilazione dei funzionari incaricati della verifica in argomento.

La collaborazione sarà attivata tramite la sottoscrizione di convenzioni che sono gestite, a decorrere dal 13 luglio 2020, con le procedure previste dall’applicativo “Gestionale convenzioni” in uso presso le Direzioni regionali e le Direzioni di coordinamento metropolitano.

Nella convenzione sono definite sia le modalità di attivazione e fruizione del servizio sia le figure di riferimento per l’attuazione dell’intesa, nonché le misure di sicurezza e responsabilità atte ad assicurare la protezione dei dati personali.

In considerazione della particolare natura dei dati oggetto dell’accesso, infatti, sono state individuate misure tecniche idonee a garantire la correttezza del trattamento e la riduzione dei rischi. Gli operatori degli enti pubblici fruitori del servizio potranno accedere alle informazioni sopra descritte previa attribuzione di apposite credenziali fornite dall’Istituto, che potranno essere bloccate a fronte di reiterati tentativi falliti di consultazione. La procedura, infatti, presuppone l’inserimento di una pluralità di informazioni che possono essere attinte esclusivamente dal verbale sanitario presentato dall’utente.

L’accesso al servizio “Verifica giudizio invalidità civile”, può essere effettuato attraverso sistemi di consultazione online (web-application disponibile sul portale dell’Istituto) oppure mediante sistemi di cooperazione applicativa, secondo le specifiche tecniche previste dall’allegato alla convenzione quadro.

Le Amministrazioni interessate alla verifica della validità dei verbali sanitari e della correttezza dei giudizi medico legali mediante sistemi di cooperazione applicativa potranno contattare la Direzione generale dell’Istituto, scrivendo al seguente indirizzo email: invciv.verificaverbale@inps.it.

Per quanto riguarda la validazione dei giudizi medico-legali tramite la web-application online, si rinvia all’allegato manuale di accesso e di utilizzo della procedura, che è parte integrante della determinazione dell’Organo munito dei poteri del Consiglio di Amministrazione n. 38/2019 (Allegato n. 2).

Allegato 1

DETERMINAZIONE n. 38 del 23 maggio 2019

Oggetto: convenzione quadro per la verifica telematica del giudizio medico-legale di invalidità civile.

DETERMINA

di adottare il modello di convenzione quadro per la verifica telematica del giudizio medico-legale di invalidità civile secondo lo schema allegato che costituisce parte integrante della presente determinazione.

Sarà cura dei Direttori Regionali e dei Direttori di Coordinamento metropolitano sottoscrivere la convenzione con le Amministrazioni ed Enti locali, per i territori di rispettiva competenza.

Sarà cura dei Direttore Centrale Organizzazione e Sistemi Informativi sottoscrivere la convenzione con le Amministrazioni ed Enti nazionali.

Articolo 1

Oggetto, Finalità ed Oneri

La Convenzione disciplina i rapporti tra le Parti, per regolare le modalità di accesso ai dati dell’Istituto utili alla verifica dell’autenticità e della certezza del giudizio medico-legale espresso sui verbali sanitari di invalidità civile, cecità, sordità, disabilità e handicap, al fine dell’erogazione, da parte dell’Ente richiedente, dei benefici di competenza.

L’Ente è autorizzato ad accedere ai dati suddetti nei rispetto e nei limiti delle finalità istituzionali perseguite e della base normativa legittimante riportata in nell’allegato 1.

Le Parti concordano che il servizio di accesso ai dati, che verrà attivato a seguito delta adesione alla presente convenzione, sarà regolato dalle modalità di gestione prevista ai successivi articoli.

La Convenzione ha effetto a decorrere dalla data di notifica all’Ente aderente dell’avvenuto perfezionamento dell’iter di sottoscrizione ed ha durata di 5 anni. Inoltre può essere rinnovata, su concorde volontà delle Parti, da manifestarsi con scambio di comunicazioni tra le stesse prima della sua scadenza.

Ciascuna delle Parti si fa carico dei costi derivanti dall’attuazione del contenuto della Convenzione.

L’Istituto procede nei limiti delle risorse finanziarie già previste.

Articolo 2

Figure di riferimento per l’attuazione della convenzione quadro

1. Si riportano di seguito le figure di riferimento nominate da ciascuna delle Parti per l’attuazione e la gestione della Convenzione, Eventuali aggiornamenti ai riferimenti indicati nei successivi commi potranno essere effettuate con scambio di comunicazioni tra le Parti.

2. Ai fini della corretta applicazione di quanto previsto in Convenzione ciascuna delle Parti nomina un proprio Responsabile della Convenzione quale rappresentante preposto alla gestione dei rapporti e delle comunicazioni tra le Parti per la gestione del documento convenzionale.

In particolare rientra nei compiti dei Responsabili della convenzione, ciascuno per quanto di competenza, il mantenimento e la gestione della Convezione in relazione a qualsiasi modifica dovesse generarsi, con scambio di formali comunicazioni, anche a seguito di evoluzione tecnica e funzionale dei servizi erogati.

Inoltre, il Responsabile della Convenzione per parte INPS curerà la comunicazione all’Ente nel caso in cui siano riscontrati eventuali abusi, anomalie e/o utilizzi non conformi ai fini istituzionali per il perseguimento dei quali è ammesso l’accesso ai dati ai sensi della presente Convenzione.

3. Ciascuna delle Parti nomina un proprio Referente tecnico responsabile dell’attivazione e della successiva gestione operativa dell’accesso ai dati nonché della corretta applicazione delle regole di sicurezza tecnico-organizzative previste nella Convenzione.

In particolare rientra nei compiti dei Referenti tecnici per quanto di competenza:

– garantire, la verifica interna sull’adeguamento alle misure di sicurezza previste dai Codice;

– comunicare tempestivamente all’altra Parte incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la fruibilità dei dati oggetto della Convenzione;

– comunicare tempestivamente all’altra Parte ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni o cancellazioni) in caso di consultazione on line.

Inoltre, il Referente tecnico provvederà a:

– adottare le procedure necessarie per la verifica sistematica e la revisione periodica delle abilitazioni e dei profili dì accesso ai dati rilasciati attraverso un adeguato flusso informativo con l’unità interna Responsabile dei trattamento;

– adottare le procedure necessarie alla conservazione delle informazioni acquisite per il tempo strettamente necessario allo svolgimento delle attività per cui i dati sono stati acceduti e la loro distruzione quando le stesse non siano più necessarie;

– – curare le comunicazioni all’erogatore nei casi di eventuali errori o inesattezze e/o manchevolezze riscontrate in ordine ai dati acceduti.

Il Referente tecnico nominato dall’INPS avrà, altresì, il compito di:

– verificare annualmente, di concerto con il fruitore, la corretta attribuzione dei profili di autorizzazione;

– la redazione ed aggiornamento del documento contenente l’indicazione delle banche dati accessibili e delle informazioni inerenti i soggetti fruitori.

4. L’Ente aderente, con atto del legale rappresentante, nomina un “Supervisore” a cui compete monitorare e controllare il corretto utilizzo dei servizi INPS da parte dei propri utenti abilitati.

5. I nominativi ed i recapiti delle figure di riferimento di cui al presente articolo sono riportati nell’allegato 3.

Articolo 3

Informazioni e servizi di accesso ai dati resi disponibili

L’Ente è autorizzato ad accedere ai dati detenuti dall’Inps nel rispetto delle modalità di attivazione e fruizione del servizio riportate negli allegati alla presente convenzione, con i vincoli e le restrizioni in essa rappresentati.

L’Inps, tenuto conto della normativa vigente, fornisce all’Ente il servizio di accesso ai dati di cui all’art. 1 attraverso una delle modalità di seguito indicate:

– Consultazione online;

– Cooperazione applicativa.

L’Istituto, in qualità di erogatore, assicura di aver preventivamente effettuato tutte le necessarie verifiche volte ad individuare la modalità telematica di accesso alle banche dati più idonea rispetto alle finalità, alla natura e alla qualità dei dati, alle proprie caratteristiche infrastrutturali e organizzative, al volume e alla frequenza dei trasferimenti, a! numero dei soggetti abilitati all’accesso.

L’accesso ai dati da parte dell’operatore dell’Ente, dotato di credenziali individuali rilasciate dall’Inps, ovvero tramite SPID o Carta Nazionale Servizi, avverrà attraverso l’inserimento di un set minimo di dati idonei all’individuazione puntuale del soggetto cui si riferiscono e tali da garantire una consultazione finalizzata esclusivamente al perseguimento delle finalità istituzionali dello stesso Ente; detto inserimento di elementi di riscontro consentirà, altresì, di evidenziare che l’Ente sia in possesso del verbale sanitario, direttamente prodottogli dall’interessato, da sottoporre, attraverso la presente convenzione, a verifica presso l’INPS per la parte del giudizio medico-legale.

Le modalità di trasmissione dei dati di cui alla presente convenzione sono contenute nell’allegato n. 2 sono redatte in conformità all’art. 32 del Regolamento UE, all’art. 2-ter del D. Lgs.196/2003, così come modificato e integrato dal D. Lgs.101/2018, nonché al provvedimento del Garante per la protezione dei dati personali n. 393 del 2 Luglio 2015 recante “Misure di sicurezza e modalità di scambio dei dati personali tra Pubbliche Amministrazioni”.

Articolo 4

Allegati alla Convenzione

1. L’allegato 1 – Finalità istituzionali del fruitore e base normativa per l’accesso alle banche dati dell’INPS contiene i riferimenti da compilare a cura dell’Ente in qualità di fruitore per l’indicazione delle finalità istituzionali perseguite con i dati raccolti per effetto della presente Convenzione ovvero della base normativa che legittima l’accesso alle banche dati dell’erogatore.

2. L’allegato 2 – Catalogo dei servizi standard resi fruibili dall”INPS riporta la descrizione e le modalità di attivazione e fruizione dei servizi standard di accesso alle informazioni presenti negli archivi dell’INPS, nonché la tabella di riferimento delle restrizioni sulla visibilità dei dati.

3. L’allegato 3 – Figure di riferimento dell’INPS e dell’Ente riporta i dati delle persone di riferimento dell’INPS e dell’Ente sulla base della presente Convenzione.

4- L’allegato 4 – Criteri tecnici per la fruibilità dei servizi forniti dall’INPS riporta le  specifiche dei servizi oggetto della presente Convenzione;

Articolo 5

Misure dì sicurezza e responsabilità

Gli allegati di cui al precedente articolo 4 sono parte integrante e sostanziale della Convenzione. L’Ente si impegna a rispettare i limiti e le condizioni di accesso riportati negli allegati volti ad assicurare la protezione dei dati personali, ai sensi della normativa vigente, di cui al Regolamento UE e al decreto legislativo n. 196/2003, così come integrato e modificato dal decreto legislativo n. 101/2018, al fine di garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, e di scongiurare trattamenti non autorizzati o illeciti e la perdita, la distruzione o il danno accidentali.

Allo scopo di incrementare la sicurezza nella modalità di accesso ai dati, è volontà delle Parti adattare progressivamente i contenuti della convenzione alle regole tecniche di cooperazione informatica previste nel Codice dell’Amministrazione Digitale nonché alle ulteriori misure che si renderanno necessarie in relazione all’evoluzione tecnica.

L’Inps rende disponibili i dati necessari alla verifica del giudizio medico-legale di cui ai verbali sanitari, restituendo una risposta in ordine alla validità dello stesso e non assume responsabilità per la mancanza di informazioni relative a eventuali contenziosi giudiziari attivati dal cittadino, suscettibili di modificare il giudizio espresso nel verbale in oggetto.

Articolo 6

Trattamento dei dati

Le Parti, per quanto di rispettiva competenza, quali Titolari del trattamento dei dati personali oggetto della presente Convenzione, anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE, si vincolano alla scrupolosa osservanza delle disposizioni contenute nel Regolamento UE e nel D. Lgs. 196/2003, così come integrato e modificato dal D.lgs. 101/2018, con particolare riferimento a ciò che concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità Garante per la protezione dei dati personali.

L’Ente assicura l’utilizzo del servizio esclusivamente per il controllo della veridicità dei verbali prodotti dagli interessati, nell’ambito delle regole e per le specifiche finalità previste nella presente Convenzione e osserva, in ogni fase del trattamento, il rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, sanciti dall’art. 5 del Regolamento UE.

L’Ente si impegna affinché i dati siano utilizzati limitatamente ai trattamenti strettamente connessi agli scopi di cui alla presente Convenzione e non siano divulgati, comunicati, ceduti a terzi, né in alcun modo riprodotti al di fuori dei casi previsti dalla legge.

Le Parti si impegnano a garantire un livello di sicurezza adeguato, assicurando che i dati personali siano trattati in modo lecito, corretto e trasparente secondo quanto disposto dagli artt. 5 e 6 del citato Regolamento UE, nonché ad adottare, ciascuna al proprio interno, tutte le regole di sicurezza relative alla gestione delle credenziali di accesso ai dati.

L’Ente garantisce, altresì, che l’accesso alle informazioni sia consentito esclusivamente a soggetti che siano stati designati quali responsabili o persone autorizzate ai trattamento dei dati, ferma restando la responsabilità derivante dall’uso illegittimo dei dati; pertanto provvederà, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, ad impartire precise e dettagliate istruzioni agli addetti al trattamento che, espressamente designati, opereranno sotto la sua diretta autorità in qualità di persone autorizzate.

L’Ente si impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso; inoltre, a conservare le informazioni ricevute per il tempo strettamente necessario ad effettuare le verifiche a cui lo scambio dati è finalizzato.

Le Parti si impegnano ad informare l’utenza in merito allo scambio di informazioni oggetto della presente Convenzione ai fini dell’esercizio dei diritti loro spettanti e si impegnano a collaborare nell’espletamento di eventuali attività di controllo previste per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza, nonché offrire la propria collaborazione nell’espletamento delle suddette attività.

Ciascuna delle Parti comunicherà tempestivamente all’altra le violazioni di dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati, che possano avere un impatto significativo sui dati personali, in modo che ciascuna amministrazione, nei termini prescritti, possa effettuare la dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personan.

Articolo 7

Tracciamento degli accessi e controlli

L’Inps e l’Ente convenzionato procedono ai tracciamento degli accessi ai dati tramite registrazioni che consentano di verificare a posteriori le operazioni eseguite da ciascun utente.

Il rispetto delle regole di accesso sarà oggetto di specifici controlli da parte dell’INPS, con riserva di adozione di provvedimenti e/o segnalazioni alle competenti autorità nei casi in cui siano riscontrati accessi illegittimi e non conformi alla normativa in materia di trattamento di dati personali.

A fronte di eventuali anomalie riscontrate dall’INPS in fase di accesso saranno posti in essere specifici blocchi. Sarà cura dell’Ente fornire all’Istituto i chiarimenti necessari al ripristino della piena funzionalità della procedura di accesso ai dati.

Articolo 8

Clausola di recesso

La mancata ottemperanza ai vincoli di accesso ai dati ed il venir meno dei presupposti e dei requisiti di cui agli allegati predisposti ai sensi dell’art. 4 costituiscono causa di recesso dalla convenzione e di immediata sospensione dei servizi a seguito di formale comunicazione.

Le Parti concordano che la Convenzione si risolve di diritto laddove vengano meno le finalità di cui all’allegato 1, predisposto ai sensi del precedente art. 4, per le quali l’accesso ai dati è stato autorizzato.

Articolo 9

Durata

La Convenzione ha effetto a decorrere dalia data di notifica all’Ente aderente dell’avvenuto perfezionamento dell’iter di sottoscrizione ed ha durata di 5 anni. Inoltre può essere rinnovata, su concorde volontà delle Parti, da manifestarsi con scambio di comunicazioni tra le stesse prima della sua scadenza.

Articolo 10

Composizione della Convenzione e valore delle premesse

1. La Convenzione si compone di 10 (dieci) articoli e 4 allegati.

2. Le Parti convengono che le premesse, i contenuti e gli allegati alla Convenzione ne costituiscono parte integrante e sostanziale.

Allegato 1

FINALITÀ ISTITUZIONALI DEL FRUITORE E BASE NORMATIVA PER L’ACCESSO ALLE BANCHE DATI DELL’INPS

Quanto di seguito riportato è parte integrante della Convenzione e costituisce parte sostanziale accettata dall’Ente in sede convenzionale

a) Base normativa che legittima l’Ente all’acquisizione dei dati

Andrà indicato nel dettaglio il collegamento al catalogo servizi INPS (ID Servizio o Servizi)

________________________________________________________________________

________________________________________________________________________

b) Finalità istituzionali perseguite con i dati raccolti

Andrà indicato nel dettaglio il collegamento al catalogo servizi INPS (ID Servizio o Servizi)

________________________________________________________________________

________________________________________________________________________

Allegato 2

SERVIZI RESI FRUIBILI DALL’INPS

Quanto di seguito riportato è parte integrante della Convenzione e costituisce parte sostanziale accettata dall’Ente in sede convenzionale

Le modalità di accesso mediante le quali l’INPS mette a disposizione di altre pubbliche amministrazioni i dati per i quali l’Istituto è Ente certificatore sono;

– consultazione on-line,

– cooperazione applicativa.

SERVIZI DI CONSULTAZIONE ON-LINE

PROCESSO: Invalidità Civile – Verbali sanitari Id Servizio: INVCIV Descrizione: Profilo di accesso Unico

SERVIZI IN COOPERAZIONE APPLICATIVA PROCESSO: Invalidità Civile – Verbali sanitari

Id Servizio: WS INVCIV

Tipologia del servizio: Sincrono

Periodicità di aggiornamento dei dati: giornaliero

Profilo di accesso Unico

Servizi standard di consultazione on-line concessi e restrizioni

In questa sezione con riferimento al catalogo, si indicano i dati oggetto della Convenzione con le relative restrizioni applicabili.

Id Servizio ProfiloRestrizioni

Restrizioni:

– Numero massimo di utenti:

– Indirizzo/i IP di accesso alla rete 5PC o Internet attraverso cui saranno effettuati gli accessi online (indirizzo del proxy o del router): <da dichiarare a cura dell’Ente>

– Fascia oraria “canonica” di fruizione dei servizi: <da dichiarare a cura dell’Ente>

Servizi in cooperazione applicativa concessi e restrizioni

In questa sezione con riferimento al catalogo, si indicano i dati oggetto della Convenzione con le relative restrizioni applicabili.

Id Servizio ProfiloRestrizioni

Restrizioni:

– Numero medio di chiamate giornaliere:

– Numero massimo di chiamate giornaliere:

– Indirizzo/i IP di accesso alla rete SPC o Internet attraverso cui saranno effettuati gli accessi (indirizzo del proxy o del router): <da dichiarare a cura dell’Ente>

– Fascia oraria “canonica” di fruizione dei servizi: <da dichiarare a cura dell’Ente >

Allegato 3

FIGURE DI RIFERIMENTO DELL’INPS E DELL’ENTE

Quanto di seguito riportato è parte integrante della Convenzione e costituisce parte sostanziale accettata dall’Ente in sede convenzionale.

Per Inps:

a) Responsabile della Convenzione:

Cognome Nome: __________________________________

Codice Fiscale: ____________________________________

Telefono: _______________ email: ____________________

b) Referente tecnico: _______________________________

Cognome Nome: __________________________________

Codice Fiscale:____________________________________

Telefono: _______________ email: ____________________

Per l’Ente

Quanto di seguito riportato è parte integrante della Convenzione e costituisce parte sostanziale accettata dall’Ente in sede convenzionale

a) Responsabile della Convenzione:

Cognome Nome: __________________________________

Codice Fiscale:____________________________________

Telefono: _______________ email: ____________________

b) Referente tecnico:

Cognome Nome: __________________________________

Codice Fiscale:____________________________________

Telefono: _______________ email: ____________________

c) Supervisore:

Cognome Nome: __________________________________

Codice Fiscale:____________________________________

Telefono: _______________ email: ____________________

Allegato 4

CRITERI TECNICI PER LA FRUIBILITÀ DEI SERVIZI FORNITI DALL’INPS

Quanto di seguito riportato è parte integrante della Convenzione e costituisce parte sostanziale accettata dall’Ente in sede convenzionale.

SERVIZI DI CONSULTAZIONE ONLINE

a) Modalità di fruizione

L’accesso ai servizi di consultazione online previsti dalla Convenzione sono fruibili attraverso la rete SPC o la rete pubblica internet mediante applicazioni web accessibili con protocollo HTTPS.

Per ogni consultazione dovrà essere comunicato un riferimento univoco (n. pratica, protocollo, ecc.) della pratica o provvedimento per il quale è necessario procedere l’accesso,

b) Regole di sicurezza

1 ) Modalità di accesso

L’accesso ai servizi online è consentito solo ad operatori espressamente autorizzati da parte dell’Ente. Agli operatori saranno attribuite credenziali di accesso individuali il cui uso deve essere strettamente personale e non cedibile a terzi. L’accesso potrà avvenire attraverso il codice fiscale personale e la Carta Nazionale dei Servizi (CNS), SPID o altri strumenti di autenticazione forte che potranno rendersi necessari per garantire i più idonei livelli di sicurezza.

Gli accessi degli operatori incaricati possono avvenire soltanto tramite l’uso di postazioni di lavoro connesse alla rete IP dell’Ente, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (VPN). È esclusa la possibilità di accesso attraverso VPN di tipo dial- up e dunque è necessario che l’Ente si avvalga di connettività internet, con IP statico.

2) Tracciamento degli accessi

Gli accessi ai servizi INPS sono oggetto di tracciamento al fine di poter risalire all’autore degli accessi a particolari dati.

3) Vincoli e restrizioni

Al fine di prevenire e/o mitigare il rischio di accessi alle banche dati all’esterno del contesto lavorativo dell’Ente, l’INPS si riserva la facoltà di limitare l’accesso ai servizi online solo in particolari fasce orarie.

Gli operatori autorizzati dall’Ente sono tenuti all’osservanza della “Informativa per l’utilizzo degli strumenti di accesso ai servizi telematici dell’INPS”, resa nota attraverso il messaggio 11837 del 23/07/2013 e comunicata agii utenti al momento del primo accesso.

4) Richiesta delle credenziali di accesso

La richiesta di attribuzione di credenziali di accesso da parte dell’Ente può essere effettuata dal legale rappresentante o dall’amministratore utenze da esso nominato.

La richiesta può essere effettuata utilizzando l’apposita modulistica da consegnare alla struttura INPS preposta o attraverso un servizio online ad esclusivo uso dell’amministratore utenze eventualmente nominato. L’accesso a tale servizio online avverrà attraverso l’utilizzo delle proprie credenziali abbinate ad un token OTP (One Time Password) assegnato all’amministratore utenze al fine di garantire un adeguato livello di sicurezza dell’accesso. La concessione dell’accesso al servizio online di gestione delle autorizzazioni sarà subordinato ad una valutazione da parte dell’INPS in relazione al numero di utenze assegnate all’Ente.

L’Ente dovrà comunicare tempestivamente la cessazione di eventuali utenze o abilitazioni al venir meno delle condizioni che hanno portato alla loro attivazione.

SERVIZI IN COOPERAZIONE APPLICATIVA

a) Modalità di fruizione

I servizi di cooperazione applicativa sono              forniti esclusivamente tramite gli standard SPCOOP attraverso Porte di Dominio (PDD).

I file WSDL (Web Services Description Language) dei servizi concessi, che definiscono il tracciato delle informazioni scambiate, saranno trasmessi all’Ente successivamente alla sottoscrizione della Convenzione.

b) Regole di sicurezza

1) Modalità di accesso

L’accesso ai servizi resi disponibili dalla PDD INPS è consentito solo attraverso un processo di mutua autenticazione SSL attraverso i certificati identificanti le PDD e dunque attraverso il protocollo HTTPS.

2) Tracciamento degli accessi

Al fine di consentire il tracciamento degli accessi l’Ente dovrà comunicare, per ogni invocazione dei servizi, un codice identificativo univoco dell’operatore che ha determinato la chiamata al servizio. Il suddetto codice identificativo deve essere riferito univocamente ai singolo utente incaricato del trattamento che ha dato origine alla transazione; l’Ente, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’incaricato del trattamento direttamente identificabile), deve in ogni caso garantire all’Istituto la possibilità, su richiesta, di identificare l’utente nei casi in cui ciò si renda necessario.

3) Vincoli e restrizioni

L’accesso sarà consentito esclusivamente dall’IP pubblico utilizzato dalla porta di dominio dell’Ente.

VERIFICHE SUGLI ACCESSI

Ai fini della verifica del rispetto di quanto previsto dal presente documento, l’INPS effettua controlli automatizzati per l’individuazione di eventuali anomalie nelle attività di accesso ai dati da parte degli utilizzatori designati dall’ente erogatore.

In presenza di anomalie o sospette irregolarità nei predetti accessi, si provvederà con immediatezza alla richiesta di chiarimenti in ordine al comportamento posto in essere ed alla documentazione attestante la regolarità degli accessi effettuati.

Il mancato invio di quanto richiesto ovvero l’inoltro di documentazione non esaustiva comporterà l’immediata disabilitazione dell’utenza con contestuale segnalazione al Garante per la protezione dei dati personali, al Ministero del Lavoro e delle politiche sociali ed all’Agenzia delle Entrate, in base ai relativi profili di competenza. Ricorrendone i presupposti, si procederà, altresì, a segnalare i fatti agli organi giudiziari per quanto di competenza in ordine ad eventuali ipotesi di reato, ferma restando ogni eventuale azione civile a tutela dell’Istituto.

Nel caso in cui l’irregolarità degli accessi sia di manifesta grave rilevanza, contestualmente all’invio della richiesta di documentazione giustificativa si procederà anche alla sospensione in via preventiva dell’utenza interessata.

Allegato 2

(Testo dell’allegato)