Delibera ANAC 20.06.2023, n. 262

10.1 L'ANAC tratta i dati acquisiti nell'ambito del FVOE per le finalità di cui all'articolo 24 del codice e nel rispetto dei criteri di pertinenza e non eccedenza. L'ANAC è titolare del trattamento ai sensi dell'articolo 24 del GDPR 2016/679 e adempie ai relativi obblighi ivi comprese la nomina degli incaricati del trattamento e l'adozione delle misure di sicurezza.

10.2 L'ANAC conserva i dati acquisiti al FVOE in una forma che consente l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a fini di archiviazione nel pubblico interesse o a fini statistici, fatta salva l'attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato; il trattamento dei dati sarà effettuato nei limiti necessari al perseguimento delle sopracitate finalità, con modalità e strumenti idonei a garantire la sicurezza e la riservatezza dei dati.

10.3 I dati sono portati a conoscenza o comunicati ai terzi autorizzati per le finalità di cui all'articolo 24 del codice.

10.4 La stazione appaltante/ente aggiudicatore, per i trattamenti di propria competenza, è titolare del trattamento ai sensi dell'articolo 24 del GDPR 2016/679 e adempie ai relativi obblighi, ivi comprese la nomina del responsabile del trattamento e l'adozione delle misure di sicurezza.

10.5 L'operatore economico è tenuto a inserire nel FVOE esclusivamente la documentazione pertinente alle finalità di cui all'oggetto della seguente delibera. L'operatore economico assume la piena responsabilità della natura e della qualità della documentazione prodotta e solleva l'ANAC da ogni responsabilità relativamente ai dati inseriti e alla documentazione caricata. In qualunque momento l'interessato potrà esercitare i diritti di cui all'articolo 7 del decreto legislativo 30 giugno 2003, n. 196, e i diritti di cui all'articolo 15 del GDPR 2016/679 in particolare, il diritto di accedere ai propri dati personali, di chiederne la rettifica, l'aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi. Le richieste vanno rivolte al titolare del trattamento tramite PEC, all'indirizzo protocollo@pec.anticorruzione.it.

10.6 Il Responsabile della protezione dei dati (RPD o DPO - Data Protection Officer) è contattabile ai seguenti recapiti: rpd@anticorruzione.it.

10.7 Il FVOE è stato progettato nel rispetto delle vigenti norme in materia di protezione dei dati personali, compresi gli obblighi di sicurezza di cui all'articolo 32 del GDPR. Sono state disposte, in particolare, le seguenti misure volte ad assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico:

a) il sistema garantisce l'identificazione, l'autenticazione e l'autorizzazione dell'utenza secondo i profili assegnati;

b) il sistema è dotato di una procedura per la verifica delle identità e dei relativi ruoli dichiarati a sistema;

c) l'accesso al FVOE avviene solo a seguito del superamento di una procedura di autenticazione conforme alla normativa vigente;

d) le credenziali di autenticazione sono assegnate individualmente ad ogni incaricato e nelle istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza. Il sistema dispone di misure di sicurezza informatica finalizzate a ridurre al minimo il rischio di violazioni dell'integrità, della riservatezza e della disponibilità dei dati trattati. In particolare sono disposte idonee procedure di audit sugli accessi, i cui esiti sono documentati. Tali procedure prevedono attività di audit basate sul monitoraggio statistico degli accessi e su meccanismi di alert che individuino comportamenti anomali o a rischio dal punto di vista della sicurezza informatica.

10.8 È fatto obbligo agli OE di segnalare tempestivamente all'ANAC ogni variazione dei ruoli dei soggetti che sono stati preventivamente autorizzati ad operare secondo i profili dichiarati a sistema, nonché eventuali utilizzi impropri e irregolari del sistema.

10.9 La sicurezza degli accessi al FVOE da parte degli utenti delle stazioni appaltanti e degli enti concedenti è garantita dalle piattaforme di approvvigionamento digitale ai sensi delle disposizioni normative vigenti.

10.10 L'OE, la stazione appaltante/ente aggiudicatore, l'Organismo di Attestazione si impegnano a comunicare tempestivamente il verificarsi di incidenti sulla sicurezza qualora tali incidenti abbiano impatto direttamente o indirettamente sul FVOE, nonché ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni).

10.11 L'ANAC informa l'utenza del corretto utilizzo del sistema.

10.12 Il tempo di conservazione dei dati relativi agli accessi e alle operazioni compiute nel sistema è fissato nel termine di 180 giorni.

10.13 Le modalità di condivisione dei dati e delle informazioni e le regole di sicurezza applicabili nelle ipotesi di acquisizione al FVOE mediante interoperabilità con la PDND sono individuate con la Determinazione AGID n. 627/2021 del 15 dicembre 2021, recante adozione delle Linee Guida sull'infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l'interoperabilità dei sistemi informativi e delle basi di dati" ai sensi dell'articolo 50-ter, comma 2 del D. Lgs. 7 marzo 2005, n. 82 e s.m.i.