CONVENZIONE QUADRO TRA INAIL E LA CONFERENZA DELLE REGIONI E DELLE PROVINCE AUTONOME PER L’ACCESSO AI SERVIZI SINP DENOMINATI: FLUSSI INFORMATIVI, REGISTRO DELLE ESPOSIZIONI E REGISTRO INFORTUNI
L’Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro (di seguito INAIL), nella persona del Commissario Straordinario Prof. Fabrizio D’Ascenzo
e
la Conferenza delle Regioni e delle Province autonome, nella persona del Presidente Massimiliano Fedriga
di seguito denominati le Parti,
Premesso che
l’INAIL è un Ente pubblico non economico che ha la funzione istituzionale di gestione dell’assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali con gli obiettivi di ridurre il fenomeno infortunistico, assicurare i lavoratori che svolgono attività a rischio, garantire il reinserimento nella vita lavorativa degli infortunati sul lavoro, realizzare attività di ricerca e sviluppare metodologie di controllo e di verifica in materia di sicurezza sul lavoro, promuovere la cultura della prevenzione nei luoghi di lavoro attraverso attività di informazione, formazione, assistenza e consulenza.
le Regioni e le Province autonome sono Enti pubblici territoriali dotati di autonomia politica e amministrativa sancita e limitata principalmente dalla Costituzione della Repubblica italiana agli articoli da 114 al 133;
le Parti hanno interesse a sviluppare un rapporto sinergico di costante collaborazione al fine di garantire l’efficiente e celere erogazione dei servizi ai propri utenti negli ambiti di rispettiva competenza e a tal fine si impegnano a regolare nel corso di vigenza del presente atto tutti i reciproci rapporti di scambio-dati attraverso una Convenzione quadro comprensiva dei servizi digitali in qualità di Enti erogatori ed Enti fruitori;
le Regioni e le Province autonome, in particolare, ai sensi degli articoli 32 e 117 della Costituzione nonché del decreto legislativo 9 aprile 2008, n. 81 e successive modifiche e integrazioni, svolgono attività di programmazione e coordinamento al fine di assicurare l'erogazione dei servizi sanitari, socio-sanitari e ispettivi attraverso i rispettivi Servizi Sanitari Regionali e i Servizi di prevenzione e sicurezza degli ambienti di lavoro delle Aziende Sanitarie Locali (ASL)/Agenzie di Tutela della Salute (ATS), comunque denominate, garantendo, altresì, l’uniformità e l’equità dell’erogazione dei servizi medesimi, anche, attraverso la realizzazione di sistemi informativi regionali a supporto delle strutture e dei professionisti che vi operano;
le ASL/ATS, attraverso i Servizi di prevenzione e sicurezza degli ambienti di lavoro dei Dipartimenti di Prevenzione, svolgono funzioni di controllo, vigilanza e di promozione della salute e della sicurezza negli ambienti di lavoro basate sulle indicazioni nazionali e regionali, sull’analisi del contesto epidemiologico locale e generale e sul confronto con distretti produttivi analoghi, con lo scopo di contribuire alla prevenzione delle malattie professionali e degli infortuni sul lavoro e al miglioramento del benessere del lavoratore;
la Conferenza delle Regioni e delle Province autonome definisce e promuove posizioni comuni su temi di interesse delle Regioni e delle Province autonome e favorisce azioni di coordinamento e complementarità con Amministrazioni e Istituti dello Stato;
la presente Convenzione quadro è stata elaborata in seno ad apposito Tavolo tecnico compartecipato da INAIL, Ministero del Lavoro e delle Politiche Sociali e dal Coordinamento Tecnico Interregionale Salute e Sicurezza sul Lavoro
con la stipula della presente Convenzione quadro si intende garantire alle Strutture regionali e provinciali preposte all’attività di programmazione e pianificazione in materia di prevenzione e sicurezza degli ambienti di lavoro, comunque denominate, e ai Servizi di prevenzione e sicurezza degli ambienti di lavoro, comunque denominati, delle ASL/ATS del proprio territorio di competenza, l’efficiente ed omogeneo assolvimento delle rispettive finalità istituzionali e degli obblighi di legge.
Visto
La legge 7 agosto 1990, n. 241, come modificata dalla legge 11 febbraio 2005 n. 15 e dalla legge 14 maggio 2005 n. 80 recante “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi “che, all’articolo 15 prevede che le Pubbliche amministrazioni possano stipulare Accordi per disciplinare lo svolgimento in collaborazione di attività di interesse comune;
il decreto legislativo 7 marzo 2005, n. 82 che all’articolo 50 comma 2 prevede, tra l’altro, che: “qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all'articolo 2, comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, salvo per la prestazione di elaborazioni aggiuntive”;
Esaminato
il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati” di seguito, per brevità, il “Regolamento UE” e il “Codice in materia di protezione dei dati personali” decreto legislativo 30 giugno 2003, n. 196, così come integrato e modificato dal decreto legislativo 10 agosto 2018, n. 101 e dalla Legge 3 dicembre 2021, n. 205, di conversione, con modificazioni, del decreto-legge n. 139/2021, di seguito “Codice”;
il Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015 recante “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche - 2 luglio 2015 [4129029]”;
il Provvedimento del Garante per la protezione dei dati personali n. 157 del 30 luglio 2019 riportante “Violazioni di dati personali (data breach), in base alle previsioni del Regolamento UE 2016/679”;
Considerato
Il decreto del Presidente della Repubblica 30 giugno 1965, n. 1124 recante il “Testo unico delle disposizioni per l'assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali”;
il decreto legislativo 23 febbraio 2000, n. 38, recante: "Disposizioni in materia di assicurazione contro gli infortuni sul lavoro e le malattie professionali, a norma dell'articolo 55, comma 1, della legge 17 maggio 1999, n. 144";
il decreto legislativo 9 aprile 2008, n. 81 e successive modifiche e integrazioni c.d. “ Testo unico sulla sicurezza ”, e in particolare, l’articolo 8, comma 3, così come modificato dal decreto-legge 21 ottobre 2021, n. 146 convertito in legge, con modificazioni, dall'art. 1, comma 1, L. 17 dicembre 2021, n. 215, secondo cui l’INAIL rende disponibili ai Dipartimenti di prevenzione delle ASL/ATS, per l'ambito territoriale di competenza, i dati relativi alle aziende assicurate, agli infortuni denunciati, ivi compresi quelli sotto la soglia di indennizzabilità, e alle malattie professionali denunciate;
il decreto-legge 31 maggio 2010, n. 78, convertito, con modificazioni, dalla legge 30 luglio 2010, n. 122 recante "Misure urgenti in materia di stabilizzazione finanziaria e di competitività economica", articolo 7 comma 1;
l’accordo quadro di collaborazione tra l’INAIL, il Ministero della salute e la Conferenza delle Regioni e Province autonome sottoscritto il 10 dicembre 2015, rinnovato nel 2020, in particolare l’articolo 2 che, nel disciplinare le modalità di svolgimento della collaborazione per le attività in esecuzione dell’Accordo medesimo, prevede la sottoscrizione di apposite convenzioni;
lo schema tipo di Regolamento per il trattamento di dati sensibili e giudiziari di competenza della Regione/Provincia autonoma, delle aziende sanitarie, degli enti e agenzie regionali/provinciali e degli altri enti vigilati e controllati dalla Regione/Provincia autonoma, approvato da parte della Conferenza delle Regioni e delle Province autonome, nella seduta del 6 giugno 2012;
il parere espresso dal Garante per la protezione dei dati personali con provvedimento del 26 luglio 2012 ai sensi degli artt. 20 comma 2 e 154, comma 1, lett. g) della previgente normativa, sullo schema tipo approvato dalla Conferenza delle Regioni e Province autonome;
che ciascuna Regione e Provincia autonoma ha adottato, con proprio atto, lo schema di regolamento sopra citato;
In virtù di tutto quanto premesso e considerato, nel rispetto dei reciproci ruoli e competenze, stante la necessità di stabilire relazioni funzionali atte a realizzare le attività e gli interventi previsti dalle norme, regolate attraverso la presente Convenzione, le Parti concordano e stipulano quanto segue:
Articolo 1
Oggetto, finalità e ambito di applicazione
La Convenzione disciplina i rapporti tra le Parti, ovvero tra INAIL e le Regioni e Province autonome - e attraverso queste ultime, con le Aziende Sanitarie locali/Agenzie di Tutela della salute - che aderiscono alla presente Convenzione secondo le modalità di cui al successivo art. 9, riguardanti l’utilizzo a titolo gratuito dei servizi telematici denominati Flussi informativi, Registro di Esposizione e Registro infortuni, di seguito descritti e meglio specificati negli allegati tecnici 1, 2, 3 e 4, erogati online da INAIL sul Portale Istituzionale e tramite download.
I servizi saranno progressivamente erogati in funzione dello stato di avanzamento della definizione dei requisiti dei servizi come concordato nell’ambito di specifici gruppi di lavoro INAIL /Regioni/Province autonome.
Il servizio Flussi informativi, strumento gestionale di sistematizzazione e condivisione delle conoscenze tra Regioni, Province autonome, Dipartimenti di prevenzione delle ASL/ATS, Direzioni Regionali INAIL, per la pianificazione, la gestione e il controllo delle attività finalizzate alla prevenzione, rende disponibili le informazioni relative agli infortuni e malattie professionali dei lavoratori infortunati e tecnopatici e alle aziende di appartenenza degli stessi collegate a tali eventi con relativi indicatori per la programmazione e il supporto all’azione dei decisori delle politiche d’intervento.
Il servizio Registro di Esposizione permette la consultazione dei dati riferiti ai Registri di esposizione ad agenti cancerogeni e mutageni e ad agenti biologici riguardanti gli agenti utilizzati, i dati dei lavoratori esposti, l’attività svolta dal dipendente e il valore dell’esposizione in termini di intensità, frequenza e durata con l’obiettivo di pianificare l’attività di vigilanza e delle politiche di prevenzione a livello epidemiologico, nonché nell’ottica di un completo programma di prevenzione degli infortuni e delle malattie professionali, e di promozione della sicurezza e tutela della salute negli ambienti di lavoro.
Il servizio Registro infortuni, permette la consultazione agli organi preposti all’attività di vigilanza dei dati relativi alle denunce di infortunio pervenute telematicamente all’INAIL a partire dal 23 dicembre 2015 nonché dei dati riguardanti le comunicazioni d’infortunio a fini statistici e informativi, pervenute telematicamente all’INAIL a decorrere dal 12 ottobre 2017 ai sensi dell’articolo 18 comma 1, lettera r) del richiamato decreto legislativo 9 aprile 2008 n. 81.
Le Parti si impegnano ad un confronto finalizzato a definire ulteriori convenzioni dedicate ad altri servizi.
Articolo 2
Ambito soggettivo di applicazione
2.1 Le ASL/ATS
I Servizi di prevenzione e sicurezza degli ambienti di lavoro dei Dipartimenti di Prevenzione delle ASL/ATS, comunque denominate, accedono ai servizi Flussi informativi, Registro di Esposizione e Registro infortuni con visibilità dei dati completi degli elementi identificativi diretti degli eventi dei lavoratori infortunati e tecnopatici del territorio di competenza nonché i dati delle aziende di appartenenza degli stessi. Nonché degli eventi dei lavoratori infortunati e tecnopatici accaduti al di fuori del territorio di competenza, dipendenti di aziende con sede nel territorio di competenza.
I Servizi di prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS accedono altresì ai dati anonimi dei lavoratori infortunati e tecnopatici e delle imprese dell’intero territorio nazionale, delle altre Regioni e delle altre Province.
2.2 Le Regioni e le Province Autonome
Le Regioni e le Province autonome per lo svolgimento dell’attività di programmazione e pianificazione in materia di prevenzione e sicurezza degli ambienti di lavoro, accedono ai servizi Flussi informativi, Registro di Esposizione e Registro infortuni con visibilità dei dati pseudonimizzati degli eventi dei lavoratori infortunati e tecnopatici del territorio di competenza nonché i dati delle aziende di appartenenza degli stessi. Nonché degli eventi dei lavoratori infortunati e tecnopatici accaduti al di fuori del territorio di competenza, dipendenti di aziende con sede nel territorio di competenza.
Le Regioni e le Province autonome accedono altresì ai dati anonimi dei lavoratori infortunati e tecnopatici e delle imprese dell’intero territorio nazionale, delle altre Regioni e delle Province al di fuori del territorio regionale di competenza.
Articolo 3
Definizioni
Ai fini della presente Convenzione, si intendono per:
• “Codice”, l’insieme della normativa nazionale in materia di trattamento dei dati personali, vigente al momento della stipula della Convenzione: d.lgs. 30 giugno 2003, n. 196;
• “Regolamento generale per la protezione dei dati o GDPR”, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
• “CAD” il Codice dell’Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modifiche e integrazioni;
• “Dati personali”, qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
• “Dati completi degli elementi identificativi diretti”, dati “in chiaro” ossia completi degli elementi che consentono l’identificazione diretta dell’interessato;
• “Dati pseudonimizzati”, dati personali sottoposti a pseudonimizzazione;
• “Pseudonimizzazione”, il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti ad una persona fisica identificata o identificabile;
• “Dati anonimi”, dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato;
• “Servizio”, l’accesso ai dati personali presenti nelle banche dati secondo le modalità indicate nella presente Convenzione;
• “Utente”, il soggetto abilitato all’utilizzo dei servizi;
• “Tracciatura”, tracciamento delle operazioni compiute con identificazione dell’utente incaricato che accede ai dati rilevanti ai fini della privacy e della sicurezza;
• “Titolare del trattamento”, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
• “Regole tecniche”, le disposizioni contenute nei decreti del Presidente del Consiglio dei ministri di cui all’articolo 71 del decreto legislativo 7 marzo 2005, n.82 (CAD)” e successive integrazioni e modificazioni;
• "Credenziali di autenticazione"(Strong Authentication), i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
• "Profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
• “Data breach”, la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
• “Responsabile della Convenzione”, soggetto preposto da ciascuna delle Parti alla gestione dei rapporti e delle comunicazioni tra le Parti per la gestione del documento negoziale ai fini della corretta applicazione di quanto previsto nella presente Convenzione;
• “Referente tecnico”, soggetto individuato da ciascuna delle Parti e preposto all’attivazione e alla successiva gestione operativa del servizio nonché della corretta applicazione delle regole di sicurezza tecnico-organizzative previste nella Convenzione;
• “Supervisore”, soggetto nominato da ciascun Ente fruitore dei dati e preposto al monitoraggio e al controllo del loro utilizzo da parte degli utenti dei rispettivi Enti di appartenenza e alle comunicazioni all’altra parte di eventuali abusi, anomalie e/o utilizzi non conformi ai fini istituzionali;
• “Gestore/i delle utenze”, soggetto/i nominato/i da ciascun Ente e deputato all’abilitazione, disabilitazione, monitoraggio e gestione delle utenze.
Per le altre definizioni in materia di “amministrazione digitale” si fa riferimento a quelle contenute nel “Codice dell'Amministrazione Digitale”.
Per le altre definizioni in materia di “protezione dei dati personali” si fa riferimento a quelle contenute nell’articolo 4 del GDPR.
Articolo 4
Accesso ai servizi e modalità di consultazione dei dati
I servizi di cui all’articolo 1 della presente Convenzione quadro sono resi accessibili a seguito dell’adesione ai sensi del successivo art. 9.
La fruizione dei dati avviene tramite consultazione diretta dei servizi di cui all’art. 1 attraverso pagine (o portale) web e attraverso download come descritto nell’Allegato 4. L’accesso ai servizi è disponibile 24 ore su 24 salvo modifiche comunicate da INAIL che potrà sospendere il servizio in relazione ad esigenze connesse all'efficienza e alla sicurezza dello stesso.
L’assistenza al servizio sarà garantita dalle ore 8.00 alle ore 18.00 dei giorni feriali, le segnalazioni di disservizi e/o malfunzionamenti saranno effettuate secondo le modalità indicate dal Referente tecnico INAIL di cui al successivo articolo 9.
È onere del soggetto fruitore dotarsi dei sistemi informatici e tecnologici idonei alla fruizione del servizio di cui alla presente Convenzione.
Articolo 5
Misure di sicurezza e responsabilità
L’INAIL e gli Enti aderenti si impegnano a rispettare i limiti e le condizioni di accesso riportati all’interno degli allegati tecnici di cui al precedente articolo 1, in particolare, in relazione ai profili di autorizzazione e credenziali di autenticazione degli utenti preposti all’utilizzo dei servizi oggetto della presente Convenzione.
La Regione, la Provincia Autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS per l’ambito territoriale di competenza si impegnano a trattare i dati personali, osservando le misure di sicurezza e i vincoli di riservatezza previsti dalla citata normativa europea e nazionale sulla protezione dei dati, ossia in maniera da garantire un’adeguata sicurezza delle informazioni, compresa la protezione, mediante misure tecniche e organizzative adeguate, al fine di scongiurare trattamenti non autorizzati o illeciti, la perdita, la distruzione o il danno accidentali e, ai sensi dell‘articolo 32 del Regolamento UE, garantire un livello di sicurezza adeguato al rischio individuato.
Articolo 6
Misure di sicurezza, tracciatura degli accessi e controlli
La Regione, la Provincia autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS per l’ambito territoriale di competenza si impegnano a comunicare ai soggetti autorizzati al trattamento ai sensi dell’art. 2quaterdecies del Codice per la protezione dei dati personali che, l’INAIL procede al tracciamento dell’accesso ai dati tramite registrazioni di log e delle operazioni eseguite da ciascun operatore autorizzato svolgendo il controllo, anche a campione, del rispetto delle corrette modalità di accesso stabilite da questa Convenzione.
A fronte di eventuali anomalie riscontrate da parte di INAIL, la Regione, la Provincia autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS limitatamente al territorio di competenza consentiranno verifiche puntuali sulla legittimità degli accessi e si impegnano a dare, a INAIL tutti i chiarimenti o la documentazione che si rendesse necessaria a seguito dell’attivazione dei controlli previsti dal precedente comma.
Le ulteriori regole tecniche e di sicurezza, le modalità operative relative all’accesso ai servizi e alla consultazione dei dati raccolti nei rispettivi applicativi sono definiti negli allegati tecnici che formano parte integrante e sostanziale del presente Accordo.
Articolo 7
Esonero da responsabilità
L’INAIL rende disponibili i dati, anche personali, come risultano al momento
dell’interrogazione e non si assume responsabilità alcuna per la mancanza di aggiornamenti che non dipendano dalla stessa, per variazioni che possano
successivamente intervenire e per conseguenti ed eventuali danni diretti e/o indiretti, nonché per eventuali interruzioni dell’accesso non preventivamente pianificabili.
INAIL garantisce esclusivamente la corrispondenza dei dati forniti con quelli contenuti nelle proprie banche dati, così come acquisiti dagli interessati alla data di interrogazione del servizio dal soggetto fruitore.
L’INAIL, pertanto, fermo restando quanto disposto dagli artt. 5, 6 e 8 della presente Convenzione in materia di misure di sicurezza nonché protezione e trattamento dei dati, è esonerato da ogni responsabilità per danni di qualsiasi natura derivanti da eventuali inesattezze o incompletezza delle informazioni di cui all’oggetto del servizio della presente Convenzione nonché da qualsiasi responsabilità derivante da contestazione stragiudiziale e/o controversia giudiziale che possa direttamente o indirettamente derivare dalla comunicazione dei dati di cui al servizio oggetto della presente Convenzione
L’INAIL infine non assume alcuna obbligazione, né presta alcuna garanzia che non sia espressamente prevista nelle condizioni della presente Convenzione.
Articolo 8
Disposizioni in materia di protezione e trattamento dei dati personali
L’INAIL, le Regioni, le Province autonome e le ASL/ATS attraverso i Servizi di prevenzione e sicurezza degli ambienti di lavoro sono, ai sensi dell’art. 4 par. 1 n. 7 del Regolamento UE 2016/679 nell’esercizio delle rispettive funzioni ed in particolare in relazione ai servizi oggetto della presente Convenzione, titolari autonomi del trattamento dei dati.
I Soggetti di cui sopra, quali Titolari autonomi del trattamento dei dati personali, si impegnano a rispettare le disposizioni contenute nel Regolamento UE 2016/679 e nel d. lgs. n. 196/2003, così come integrato e modificato dal d. lgs. n. 101/2018 ed ulteriormente modificato dal d.l. 139/2021, con particolare riferimento a ciò che concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e del Garante per la protezione dei dati personali e osservando, in ogni fase del trattamento, il rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del Titolare, sanciti dagli articoli 5 e 6 del citato Regolamento UE.
La Regione, la Provincia autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS per l’ambito territoriale di competenza, in ogni caso, si impegnano affinché i dati personali non siano divulgati, comunicati, ceduti a terzi né in alcun modo riprodotti al di fuori dei casi di previsione di legge.
Inoltre, la Regione, la Provincia autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS per l’ambito territoriale di competenza si impegnano a conservare le informazioni per il tempo strettamente necessario ad effettuare le attività necessarie per le finalità istituzionali dichiarate in premessa e, di conseguenza, a cancellare i dati ricevuti non appena siano stati realizzati gli scopi per cui si procede alla consultazione medesima e, in ogni caso, nel rispetto dei termini di conservazione definiti dalle norme.
Le operazioni di trattamento saranno consentite esclusivamente a soggetti che siano stati designati quali responsabili del trattamento (articoli 28 e 4, n. 8 del Regolamento UE) o “Persone autorizzate” al trattamento dei dati (articoli 29 e 4, n. 10 del Regolamento UE e articolo 2-quaterdecies del Codice).
In conformità a ciò, la Regione, la Provincia autonoma e i Servizi prevenzione e sicurezza degli ambienti di lavoro delle ASL/ATS per l’ambito territoriale di competenza provvederanno, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, ad impartire precise e dettagliate istruzioni agli addetti al trattamento che, espressamente designati e autorizzati, avranno accesso ai dati.
L’INAIL assicura l’accesso ai servizi di cui al precedente articolo 1 esclusivamente nell’ambito delle regole e per le specifiche finalità previste nella normativa citata in premessa e posta alla base della presente Convenzione.
L’INAIL fornisce alle Regioni e alle Provincie autonome per le finalità dichiarate in premessa, i dati in forma pseudonimizzata esclusivamente al fine di agevolare la circolarità dei medesimi su sistemi informativi diversi e custodendo in via permanente le chiavi di decriptazione a garanzia dell’esclusione dell’identificazione degli interessati.
L’INAIL e gli Enti aderenti comunicheranno tempestivamente le violazioni di dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati, che possano avere un impatto significativo sui dati personali, in modo che il Titolare competente in merito al trattamento dei dati oggetto del c.d. “data breach”, possa effettuare la dovuta segnalazione al Garante per la protezione dei dati personali ed eventualmente agli Interessati, ai sensi degli articoli 33 e 34 del Regolamento UE, a meno che, come previsto, sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Articolo 9
Modalità di adesione e figure di riferimento per l’attuazione della Convenzione
Le Regioni e le Province Autonome, per garantirne l’attuazione da parte delle Aziende Sanitarie Locale e/o delle Agenzie di Tutela della Salute, comunicano l’adesione alla presente Convenzione quadro in forma scritta alla segreteria della Conferenza delle Regioni - entro 30 gg dalla sottoscrizione tra le Parti - che provvede a trasmetterle al Responsabile della Convenzione di INAIL, individuato nel Direttore della Direzione centrale per l’organizzazione digitale, all’indirizzo PEC
Nel suddetto atto di adesione, firmato dal legale rappresentante della Regione/Provincia autonoma (o dal Dirigente funzionalmente competente con poteri di rappresentanza), sono necessariamente indicati:
- Nominativo e recapiti del nominato Responsabile della Convenzione, quale rappresentante preposto alla gestione dei rapporti e delle comunicazioni con INAIL ai fini dell’attuazione della presente convenzione
- Nominativo e recapiti del Referente tecnico responsabile, quale soggetto preposto all’effettiva attivazione e gestione operativa dei servizi nonché della corretta applicazione delle regole di sicurezza tecnico-organizzative
- Nominativo e recapiti del Supervisore, preposto al monitoraggio e al controllo del loro utilizzo da parte degli utenti dei rispettivi Enti di appartenenza e alle comunicazioni all’altra parte di eventuali abusi, anomalie e/o utilizzi non conformi ai fini istituzionali
- Nominativo e recapiti del “Gestore delle utenze regionali”, avente le funzioni indicate nell’allegato 4 della presente Convenzione, che, su indicazione della Regione/Provincia Autonoma viene abilitato da INAIL come “utenza master”
L’individuazione degli “operatori interregionali” di cui all’Allegato 4 è definita nell’ambito della Commissione Salute ed è comunicata alla Conferenza delle Regioni per l’invio al Responsabile della Convenzione di INAIL.
Nei casi di successive modifiche/integrazioni/cessazioni delle informazioni indicate nell’Atto di adesione, le Regioni e le Province Autonome comunicano le modifiche intervenute nelle medesime modalità di cui al primo comma del presente articolo.
L’INAIL e gli Enti Aderenti si danno, inoltre, reciprocamente atto che procederanno al trattamento dei rispettivi dati personali relativi ai referenti e firmatari esclusivamente per concludere, gestire ed eseguire la Convenzione in oggetto, nel rispetto del GDPR. Le Parti possono rivolgersi l’un all’altra per far valere i propri diritti così come previsto all’articolo 15 e ss. del GDPR.
Articolo 10
Variazione della Convenzione e sospensione del servizio
L’INAIL e gli Enti aderenti prendono atto e accettano che le condizioni della presente Convenzione potranno essere oggetto di variazione, previo accordo tra le stesse, a seguito di proposte discusse nei gruppi di lavoro INAIL Regioni dedicati ai servizi specifici, e previa successiva formale approvazione.
In particolare, potranno essere oggetto di variazione, in caso di sopravvenute esigenze, le modalità tecniche di accesso al servizio e le modalità e la tipologia dei dati oggetto di acquisizione, ferme restando la natura dei dati (con elementi identificativi diretti, pseudonimizzati, anonimi) visibili da parte dei diversi Soggetti come stabilito dall’art. 2.
Potranno altresì essere apportate variazioni in caso di sopravvenute disposizioni normative europee e nazionali, come ad esempio, a mero titolo esemplificativo, in materia di infortuni sul lavoro, in materia prevenzionale, di tutela dei dati personali, di sicurezza dei sistemi informativi.
Gli allegati tecnici e le modalità operative potranno essere modificati da INAIL sulla base di sopraggiunte esigenze tecnologiche e comunicate al soggetto fruitore dal Referente tecnico per mezzo di posta elettronica certificata.
INAIL, ove necessario e fatto salvo il caso di forza maggiore e caso fortuito, si riserva il diritto di sospendere, in qualsiasi momento, il servizio messo a disposizione in caso di sopravvenute modifiche normative nelle materie sopra richiamate o a seguito di qualunque altra normativa che imponga alle Pubbliche amministrazioni obblighi incompatibili con la presente Convenzione ovvero in caso di mutamento degli strumenti tecnologici per l’accesso ai sistemi informativi. Tali circostanze dovranno essere comunicate al soggetto fruitore dal Referente tecnico per mezzo di posta elettronica certificata.
INAIL potrà effettuare ogni tipo di intervento di manutenzione e di adeguamento sul sistema informatico, riservandosi a tal fine il diritto di sospendere in qualsiasi momento il servizio per il periodo di tempo ritenuto necessario, dandone tempestiva comunicazione al soggetto fruitore.
Nei casi in cui si renda necessario interrompere l’accesso ai servizi per esigenze organizzative e di sicurezza e/o per adeguamento a modifiche legislative, l’INAIL e gli Enti aderenti concorderanno tempestivamente, per il tramite dei Responsabili della Convenzione, modalità alternative di accesso ai dati stessi.
Articolo 11
Durata, rinnovo e recesso
La presente Convenzione, di durata quinquennale, è efficace a far data dalla sottoscrizione delle Parti e potrà essere rinnovata per pari durata per concorde volontà delle Parti, da manifestarsi reciprocamente mediante espressa comunicazione da inviarsi con posta elettronica certificata almeno tre mesi prima della scadenza, con formale approvazione.
Ciascuna Parte, fatte salve le cause di forza maggiore o caso fortuito, potrà altresì recedere dalla Convenzione, in ogni momento, manifestandone la volontà all’altra Parte, mediante comunicazione scritta da inviare tramite posta elettronica certificata, con formale approvazione.
Il recesso potrà essere esercitato qualora siano venute meno le finalità di cui alla presente Convenzione ovvero per sopravvenute disposizioni normative europee e nazionali, quali a titolo esemplificativo, in materia di infortuni sul lavoro, in materia prevenzionale, di tutela dei dati personali, o qualunque altra normativa che imponga alle Pubbliche amministrazioni obblighi incompatibili con la presente Convenzione ovvero in caso di mutamento degli strumenti tecnologici per l’accesso ai sistemi informativi che implichino per le Parti l’eccessiva difficoltà ovvero onerosità per la prosecuzione della Convenzione medesima.
Articolo 12
Oneri finanziari, spese e registrazione
La presente Convenzione è a titolo gratuito e non comporta la corresponsione di alcun corrispettivo; gli oneri finanziari e le spese sono a carico di ciascuna delle Parti.
La presente Convenzione ai sensi dell’articolo 50, comma 2, del CAD non è soggetta a spese di registrazione.
Articolo 13
Foro competente e valore delle clausole
L’INAIL e gli Enti aderenti si impegnano a definire amichevolmente ogni questione che possa scaturire dell'esecuzione, interpretazione, risoluzione o recesso della presente Convenzione. Nel caso in cui non sia possibile raggiungere un'intesa per la risoluzione bonaria delle questioni sopra richiamate, qualsiasi controversia eventualmente derivante sarà devoluta alla competenza esclusiva del Foro di Roma.
L’INAIL e gli Enti aderenti convengono, altresì, che si intendono approvate ai sensi dell’articolo 1341 del Codice civile le clausole relative a limitazioni alla libertà contrattuale nei rapporti con terzi, limitazioni di responsabilità, recesso e deroghe alla competenza dell’autorità giudiziaria di cui rispettivamente agli art. 7, 11 e 13 della presente Convenzione.
Articolo 14
Forma della Convenzione
La presente Convenzione è stipulata in formato elettronico, redatta in unico originale e sottoscritta con firma elettronica. In difetto di contestualità spazio/temporale, l’atto sottoscritto sarà registrato e assunto al protocollo a far data dalla ricezione da parte dell’ultimo sottoscrittore ai sensi degli articoli 1326 e 1335 c.c.
Per la forma contrattuale si richiamano gli articoli 2702 e 2704 c.c. e l’articolo 21 del decreto legislativo 7 marzo 2005, n. 82 e successive modifiche e integrazioni.
Articolo 15
Composizione della Convenzione e validità delle premesse e degli allegati
La presente Convenzione è composta da n. 15 (quindici) articoli e n. 4 (quattro) allegati tecnici che ne costituiscono parte integrante e sostanziale.
|
Per l’INAIL |
|
Per la Conferenza delle Regioni e |
Ai sensi e agli effetti degli art. 1341 e 1342 cc. le Parti dichiarano di approvare espressamente mediante separata sottoscrizione le clausole previste dagli art. 7, 11 e 13.
|
Per l’INAIL |
|
Per la Conferenza delle Regioni e |