EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
30/11/2023 Comuni con meno di 15mila abitanti: servizio di rilascio Certificati anagrafici alle Poste
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

I dipendenti di Poste Italiane S.p.A., abilitati ad accedere alla “Piattaforma Polis”, potranno rilasciare, dopo l’approvazione del relativo decreto ministeriale, i certificati anagrafici degli iscritti nell’ANPR, riguardanti il richiedente e i componenti della famiglia anagrafica dei richiedenti medesimi.

Il servizio di rilascio Certificati anagrafici alle Poste interesserà, a regime:

  • i Comuni con meno di 15mila abitanti.

Lo ha reso noto, il 27 novembre scorso, il Garante annunciando il parere favorevole sullo schema di decreto del Ministro dell’interno recante “L’erogazione del servizio dei certificati ANPR da parte degli sportelli degli uffici postali nell’ambito del Progetto Polis-Case dei servizi di cittadinanza digitale”.

Sportelli di Poste Italiane S.p.A. con funzione di «sportello unico» di prossimità nel territorio dei comuni con popolazione inferiore a 15.000 abitanti

Il progetto «Polis» - Case dei servizi di cittadinanza digitale - si basa sulla possibilità, per il Ministero dello sviluppo economico, di garantire la modalità digitale di erogazione dei servizi pubblici, stipulando con le pubbliche amministrazioni, convenzioni a titolo gratuito per rendere accessibili i servizi di competenza delle predette amministrazioni per il tramite di:

  • uno «sportello unico» di prossimità nel territorio dei comuni con popolazione inferiore a 15mila abitanti, affidando l’erogazione dei suddetti servizi a Poste Italiane S.p.A. che utilizza, a tal fine, la propria infrastruttura tecnologica e territoriale.

Nell’ambito del suddetto progetto «Polis», la disciplina dell’erogazione del servizio di rilascio dei certificati disponibili nell’Anagrafe nazionale della popolazione residente (ANPR) da parte degli sportelli degli uffici postali in funzione di «sportello unico» di prossimità, è destinata a confluire in:

  • un decreto del Ministero dell’interno di concerto con il Dipartimento della funzione pubblica e il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri.

Lo schema di decreto in esame, composto da sei articoli, è stato trasmesso all’Autorità garante, al fine di acquisire il prescritto parere che, all’esito dell’istruttoria, è risultato favorevole per le ragioni che interessano i seguenti principali profili di regolamentazione.

Titolare, responsabili e incaricati del trattamento

Nell’ambito del nuovo servizio, sono esattamente identificati Titolare, Responsabili e Incaricati del trattamento. Più esattamente:

- il Ministero dell’interno risulta essere il titolare del trattamento con riferimento ai dati contenuti in ANPR, per le operazioni di conservazione, di comunicazione e di adozione delle relative misure di sicurezza;

- Poste Italiane S.p.A. risulta essere responsabile del trattamento al fine di fornire ai cittadini il servizio di richiesta e rilascio dei certificati anagrafici disponibili nell’ANPR;

- Sogei S.p.A. risulta essere responsabile per la realizzazione delle funzionalità di ANPR e la gestione dell’infrastruttura.

- incaricato del trattamento è il personale di Poste Italiane S.p.A. abilitato a erogare i servizi previsti da ANPR in possesso dei requisiti richiesti dal CCNL di settore, incluso quello relativo all’assenza di condanne penali e individuato tra i dipendenti con rapporto di lavoro a tempo indeterminato alle dirette dipendenze di Poste Italiane, con qualifiche espressamente individuate.

Misure tecniche e organizzative di sicurezza

Nell’ambito del nuovo servizio, sono inoltre esattamente identificate le misure tecniche e organizzative di sicurezza, di seguito testualmente riportate.

- le informazioni relative al cittadino e ai certificati richiesti, trattate nell’ambito dell’erogazione del servizio, vanno gestite temporaneamente sulla Piattaforma Polis sino alla chiusura della sessione; un sottoinsieme di tali informazioni, specificamente individuate, va registrato nei log di tracciatura sulla piattaforma di conservazione dei log di Poste Italiane;

- per la gestione dei profili e l’autorizzazione agli accessi del personale preposto di Poste Italiane, la piattaforma di Identity & Access Management di Poste Italiane garantisce la sicurezza dei processi di identificazione e autenticazione anche attraverso robusti meccanismi basati sull’utilizzo di smart card crittografiche, come doppio fattore di autenticazione, prevedendo altresì l’utilizzo di un processo di gestione dei ruoli e dei profili autorizzativi, congiuntamente a meccanismi di tracciabilità della gestione delle identità del personale preposto, oltre che la piena tracciabilità delle operazioni effettuate per il rilascio dei certificati ANPR;

- l’integrità e il non ripudio siano garantiti dall’apposizione di firma ai messaggi scambiati nell’interazione tra la Piattaforma Polis e il sistema ANPR, secondo le modalità previste dalle citate “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni”;

- la riservatezza dell’accesso ai dati è garantita da un lato dai meccanismi implementati dalla PDND relativi al controllo e alla tracciabilità degli accessi applicativi eseguiti dalla Piattaforma Polis verso i servizi di ANPR, dall’altro dal meccanismo di autenticazione a due fattori previsto per l’accesso del personale preposto alla Piattaforma Polis. Tali meccanismi, insieme alle misure di tracciamento delle operazioni effettuate, garantiscono anche il non ripudio delle attività svolte dal personale preposto; inoltre, la cifratura del canale contribuisce a garantire la riservatezza dei dati in transito nell’interazione tra le due suddette piattaforme;

- al fine di minimizzare il rischio di abuso derivante dall’utilizzo di documenti di riconoscimento, è reso disponibile agli interessati, all’interno dell’area riservata di ANPR, lo storico dei certificati emessi nell’ultimo anno tramite il servizio Polis, ed è implementato da parte di Poste Italiane un sistema di controlli e di gestione dei rischi a vari livelli;

- sono messe in atto e mantenute costantemente aggiornate misure adeguate per proteggere i sistemi da attacchi informatici (par. 5.2);

- il meccanismo di strong authentication, basato su smart card con pin, previsto per il personale preposto, è utilizzato anche in condizioni di eccezione (ad esempio, in caso di perdita o smarrimento della smart card); l’accesso può essere garantito in emergenza esclusivamente con equivalenti meccanismi di autenticazione forte (per esempio con una smart card sostitutiva associata univocamente al dipendente preposto);

- considerato che il servizio Polis richiede la presenza fisica del cittadino allo sportello, è inibito l’accesso da remoto al servizio da parte del personale abilitato all’emissione dei certificati;

- le operazioni effettuate dal personale di Poste Italiane sono oggetto di tracciatura sia nella piattaforma Polis (codice fiscale del cittadino che richiede il servizio; gli estremi del documento d’identità del cittadino che richiede il servizio; data, ora, minuti, secondi e millisecondi della richiesta; identificativo dell’ufficio postale e della postazione di sportello; UserID dell’operatore pseudonimizzato; operazione richiesta; esito della richiesta; identificativo della richiesta; modalità/estremi del token di autenticazione dell’operatore di sportello che eroga il servizio) sia in ANPR (codice fiscale del cittadino e/o dei componenti della famiglia anagrafica; informazioni derivanti dal token di sicurezza utilizzato dall’operatore; data, ora, minuti, secondi, millisecondi della richiesta; operazione richiesta; esito della richiesta; identificativo della richiesta; modalità di autenticazione);

- viene resa un’informativa ai lavoratori preposti in merito alla circostanza che le attività svolte sulla Piattaforma Polis sono oggetto di monitoraggio e audit da parte di Poste Italiane;

- ANPR registra gli accessi alle applicazioni da parte di Poste Italiane e l’esito delle operazioni, conservandoli per 36 mesi, mentre Poste Italiane gestisce i log delle operazioni di rilascio dei certificati ANPR sulla piattaforma di conservazione e analisi dei log dedicata a Polis e garantisce la conservazione dei dati per la durata di 36 mesi dall’erogazione del servizio ANPR, secondo i criteri di confidenzialità e integrità (par. 5.3);

- Poste Italiane, tramite i propri sistemi trasversali, traccia gli accessi effettuati dagli amministratori di sistema e conserva sempre aggiornata la lista di questi ultimi;

- per entrambe le piattaforme (ANPR e la citata piattaforma di conservazione e analisi dei log), è previsto un sistema di log analysis per l’analisi periodica delle informazioni registrate dagli applicativi, in grado di individuare eventi potenzialmente anomali che possono configurare trattamenti illeciti (par. 5.3).

Le specifiche misure di sicurezza che presidiano l’erogazione del servizio, garantiscono l’integrità, la riservatezza dei dati, la sicurezza del nuovo servizio, specie per quanto concerne l’accesso ad esso e il tracciamento e le operazioni effettuate.

Categorie
News
Parole chiave
Certificazione
Certificazioni
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits