CONVENZIONE PER L’ADESIONE DEI SOGGETTI EROGATORI DI SERVIZI PUBBLICI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI PER IL TRAMITE DI REGIONE CALABRIA

CONVENZIONE PER L’ADESIONE DEI SOGGETTI EROGATORI DI SERVIZI PUBBLICI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI PER IL TRAMITE DI REGIONE CALABRIA

(SCHEMA APPROVATO CON DECRETO Regione Calabria N. 6377/2021)

Il   del mese di        dell’anno    

TRA

La REGIONE CALABRIA (di seguito “Soggetto Aggregatore”), con sede in: Catanzaro Prov. (CZ) indirizzo: viale Europa - Germaneto, cap 88100 Cod.Fiscale/partita IVA: 02205340793, codice iscrizione all’Indice delle Pubbliche Amministrazioni (I.P.A.): regcal, in persona del Responsabile per la Transizione Digitale XXXX. XXXXXXX XXXXXXX’

E

Ente: Consiglio regionale della Calabria (di seguito “Soggetto Aggregato”), con sede in Reggio Calabria, via Cardinale Xxxxxxxxx snc, C.F. 80001350802, codice iscrizione all’Indice delle Pubbliche Amministrazioni (I.P.A.): r_calabr, in persona del Responsabile per la Transizione Digitale XXXX. XXXXXX XXXXXXX XXXXXXXXXX

PREMESSO CHE

1. l’articolo 64, comma 2-bis del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”);

2. l’articolo 64, comma 2-quater del CAD stabilisce che “Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies”;

3. l’articolo 64, comma 2-sexies del CAD stabilisce che “Con decreto del Presidente del Consiglio dei ministri, [OMISSIS], sono definite le caratteristiche del sistema SPID, anche con riferimento:

a) al modello architetturale e organizzativo del sistema;

b) alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale;

c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identità digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1;

d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;

e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;

f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete”;

4. nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il DPCM 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM);

5. il DPCM stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;

6. l’art. 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata a svolgere le seguenti attività:

a) gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;

b) cura l’aggiornamento del Registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;

c) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;

7. l’art. 13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4”;

8. l’art. 14, comma 1, del DPCM stabilisce che “le pubbliche amministrazioni che erogano in rete servizi qualificati, direttamente o tramite altro fornitore di servizi, consentono l’identificazione informatica degli utenti attraverso l’uso di SPID”;

9. l’art. 14, comma 2, del DPCM stabilisce che “le pubbliche amministrazioni di cui all’art. 2, comma 2, del CAD aderiscono allo SPID, secondo le modalità stabilite dall’Agenzia ai sensi dell’art. 4, entro i ventiquattro mesi successivi all’accreditamento del primo gestore dell’identità digitale”;

10. l'art. 14, comma 5, del DPCM stabilisce che "Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati";

11. l’art. 1 lettera i) del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità e ne ricevono l’esito”;

12. l'art. 1 lettera i) del DPCM stabilisce, inoltre, che "i fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in base al gestore dell'identità digitale che l'ha fornita";

13. con Determinazione AgID n. 44/2015 del 28 luglio 2015, sono stati emanati i Regolamenti previsti dall'art. 4, commi 2 e 3, DPCM, concernenti:

• le modalità attuative per la realizzazione dello SPID;

• le regole tecniche;

• le modalità di accreditamento e vigilanza dei gestori di identità digitale;

• le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.

14. la Regione Calabria, in data 07 aprile 2021, ha stipulato con Agid una convenzione di adesione a SPID che la designa quale “Soggetto Aggregatore” di servizi pubblici. Con tale convenzione AgID consente alla Regione Calabria di offrire ad altri soggetti pubblici del territorio, cosiddetti “Soggetti Aggregati”, la possibilità di rendere accessibili tramite SPID i servizi erogati online.

TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE

Art. 1 – Oggetto e finalità della convenzione

1. La presente Convenzione disciplina il rapporto fra l’Ente

Consiglio regionale della Calabria e la Regione Calabria nell’ambito del Sistema Pubblico di Identità Digitali (SPID) per l’espletamento da parte dell’Ente di tutte le attività necessarie per l’adesione a SPID.

2. Nella presente convenzione la Regione Calabria riveste il ruolo di soggetto aggregatore di “servizi pubblici”, per come indicato dalla determinazione Agid 80/2018 e dallo schema di convenzione in essa contenuto.

3. L’Ente (in qualità di Soggetto Aggregato) aderisce a SPID per mezzo della Regione Calabria (in qualità di Soggetto Aggregatore), usufruendo delle infrastrutture e dei servizi messi a disposizione da quest’ultimo, attraverso la Piattaforma denominata SAGEL realizzata all’interno del progetto CalabriaLogin.

4. Sottoscrivendo il presente atto, il soggetto aggregato si impegna a rispettare la normativa vigente che disciplina il sistema SPID nonché le regole e i relativi aggiornamenti emanati da AgID.

5. L’adesione è gratuita per tutta la durata della convenzione.

Art. 2 – Obblighi del Soggetto Aggregato

1. Il Soggetto Aggregato aderente a SPID di cui alla presente convenzione, si obbliga a:

a) comunicare al Soggetto Aggregatore l’elenco dei servizi qualificati erogati in rete e le informazioni tecniche per consentire la fruizione degli stessi previa autenticazione SPID;

b) comunicare, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio ed una sintetica nota che fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi SPID richiesti per ciascuno dei servizi;

c) comunicare il nominativo di un referente e i suoi contatti (telefonici, e- mail e PEC) per eventuali comunicazioni tecniche e amministrative inerenti al processo di autenticazione SPID di cui alla presente convenzione;

d) rispettare quanto indicato nell’allegato A, parte integrante della presente convenzione;

e) porre in essere ogni attività strumentale connessa all’adesione al sistema SPID nel rispetto delle modalità definite da AgID, in conformità ai Regolamenti dalla stessa emanati, e veicolate dal Soggetto Aggregatore;

f) rispettare quanto specificato nelle “Note tecniche sulle interfacce e sulle Informazioni Idp/Sp” pubblicate sul sito AgID come previsto dall’appendice D del “Regolamento recante le modalità attuative per la realizzazione dello SPID” con riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;

g) conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni inviati da AgID o dal Soggetto Aggregatore relativi al sistema SPID che abbiano impatto sui servizi erogati;

h) comunicare tempestivamente al Soggetto Aggregatore e al service desk della piattaforma SAGEL del Soggetto Aggregatore ogni malfunzionamento o incidente sulla sicurezza occorso durante il processo di autenticazione, fermo restando l’obbligo legale in capo al titolare del trattamento di comunicare entro i termini previsti dall’art.33 del GDPR dall’avvenuta conoscenza dall’accaduto, al Garante per la protezione dei dati personali e ad AgID eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;;

i) comunicare al Soggetto Aggregatore, qualora richiesto, dati statistici e segnalazioni di disservizi anche in forma aggregata;

j) vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n.196 per come modificato dal D.Lgs.

n. 101 del 10.08.2018 (Codice Privacy) e nel Regolamento UE 679/2016 (GDPR), in particolare per quanto concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, l’amministrazione si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;

k) assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, qualora impossibilitati a risolvere autonomamente, di indirizzare le richieste verso l’assistenza tecnica del Soggetto Aggregatore per la piattaforma SAGEL (help desk di secondo livello i cui riferimenti sono indicati nell’allegato A);

l) inserire gli elementi grafici identificativi della piattaforma SAGEL di Regione Calabria, ove applicabili, nelle pagine informative del servizio.

2. Il Soggetto Aggregato si impegna a collaborare con il soggetto Aggregatore nel fornire ad AgID dati di accesso in forma anonima, qualora richiesto, ed autorizza quest’ultimo all’invio degli stessi anche in forma aggregata.

3. Il Soggetto Aggregato si riserva la facoltà di recedere dalla presente convenzione, senza obbligo di motivazione, mediante comunicazione da inviare a mezzo PEC con preavviso di 90 giorni senza che, a fronte di detto recesso, possa essere preteso dalle Parti alcun rimborso, risarcimento o indennizzo.

Art. 3 – Obblighi del Soggetto Aggregatore

1. Il Soggetto Aggregatore con la presente convenzione è tenuto a:

a) mettere a disposizione le proprie infrastrutture tecnologiche e i propri servizi al fine di rendere accessibili tramite SPID i servizi erogati dai Soggetti Aggregati;

b) comunicare ad AgID le informazioni relative al soggetto aggregato (denominazione, P.IVA/CF), ivi compresi il referente e i suoi contatti (telefonici, e-mail e PEC);

c) comunicare ad AgID l’elenco dei servizi qualificati del soggetto aggregato, la cui autenticazione avverrà a mezzo SPID per il tramite del Soggetto Aggregatore ed il rispettivo livello di sicurezza adottato;

d) rispettare e far rispettare dal Soggetto Aggregato le specifiche tecniche sulle interfacce e sulle Informazioni Idp/Sp pubblicate sul sito AgID, come previsto dall’appendice D del “Regolamento recante le modalità attuative per la realizzazione dello SPID”, con particolare riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;

e) comunicare tempestivamente all’indirizzo: xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione, fermo restando l’obbligo di comunicare - entro e non oltre24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e ad AgID eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale, anche in conformità al Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015 riguardante le misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche;

f) vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n.196 per come modificato dal D.Lgs. n. 101 del 10.08.2018 (Codice Privacy) e nel Regolamento UE 679/2016 (GDPR), nei regolamenti europei vigenti in materia di protezione dei dati, in particolare per quanto concerne la sicurezza degli stessi, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, il Soggetto Aggregatore si impegna a non

acquisire attraverso SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;

g) registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;

h) garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’Industria del commercio ed artigianato 30 novembre 1993, n.591, con una differenza non superiore ad un minuto primo;

i) assistere l’operatore del Soggetto Aggregato nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione, facendosi carico di gestire e risolvere le segnalazioni pervenute dall’helpdesk di primo livello facente capo al Soggetto Aggregato;

j) conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni inviati da AgID relativi al sistema SPID;

k) comunicare ad XxXX le informazioni tecniche da questi richieste per consentire la fruizione dei servizi da parte del Soggetto Aggregato;

l) dare immediata comunicazione al Soggetto Aggregato dell’eventuale volontà di cessare l’attività oggetto della presente Convenzione, secondo tempi e modalità di cui al successivo art.5.

2. Il Soggetto Aggregatore, inoltre, si impegna a collaborare con AgID nell’attività di monitoraggio e controllo e, in particolare, si obbliga a:

a) inviare ad AgID, in forma aggregata, i dati da questa richiesti che possono essere utilizzati esclusivamente a fini statistici e resi pubblici in forma aggregata;

b) dare immediata comunicazione ad AgID di ogni circostanza, reale o potenziale, che possa eventualmente inficiare la corretta esecuzione delle attività di cui alla presente Convenzione.

Art. 4 – Trattamento dei dati

1. Il Soggetto Aggregatore si impegna a trattare i dati personali nell’ambito dell’erogazione del servizio qualificato erogato in rete nel rispetto del principio di necessità e delle altre garanzie fissate dal Codice sulla protezione dei dati personali e per le finalità previste nell’art.64 del CAD e nell’art. 2, comma 2, del DPCM, secondo le modalità fissate nei Regolamenti attuativi dell’AgID.

2. Ai sensi e per gli effetti della normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679, di seguito "GDPR", nonché D. Lgs. 196/2003 da ultimo novellato dal D. Lgs. 101/2018, di seguito "Codice Privacy") ed in relazione alle operazioni che vengono eseguite per lo

svolgimento delle attività previste dalla presente convenzione, il Soggetto Aggregato, in qualità di Titolare, nomina Regione Calabria “Responsabile del trattamento”, ai sensi dell’articolo 28 GDPR.

3. I trattamenti affidati dal Titolare al Responsabile riguardano i dati personali degli utenti dei servizi on-line, come meglio descritti nelle regole tecniche dello SPID (articolo 4, comma 2, DPCM 24 ottobre 2014) e successivi Avvisi (si veda xxxxx://xxx.xxxx.xxx.xx/xx/xxxxxxxxxxx/xxxx regole Tecniche Tabella Attributi).

4. I dati personali degli utenti vengono inoltrati dagli IdP SPID per il tramite della infrastruttura del Soggetto Aggregatore ai servizi on-line erogati dal Titolare (Soggetto Aggregato).

5. I trattamenti effettuati dal Responsabile per conto del Titolare cesseranno al completamento della convenzione ovvero in caso di sua risoluzione, per qualsiasi altro motivo.

6. In particolare, ai sensi dell’art. 28 del GDPR, il Soggetto Aggregatore si impegna a:

• adottare e mantenere aggiornato un proprio registro dei trattamenti;

• non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare oggetto della presente convenzione;

• fornire per iscritto agli autorizzati al trattamento le necessarie istruzioni in tema;

• nominare gli autorizzati che svolgono le funzioni di “amministratore di sistema”, ai sensi dei provvedimenti del Garante italiano per la protezione dei dati personali del 27/11/2008 e del 25/6/2009, conservando i relativi estremi identificativi;

• assistere e garantire il Titolare del trattamento nell’evasione delle richieste e nel rispetto dei tempi previsti, nei rapporti con l’Autorità Garante per la protezione dei dati personali;

• assistere il Titolare al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. 15 a 22 del Regolamento UE; qualora gli interessati esercitino tale diritto verso il Responsabile, quest’ultimo è tenuto ad inoltrare tempestivamente e comunque nel più breve tempo possibile le istanze al Titolare, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei tempi prescritti;

• assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare (se nominato), nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento, della tipologia di dati trattati, delle categorie e numerosità degli interessati.

7. Il Responsabile informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel

caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile dovrà supportarlo nella misura in cui le informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile e/o di suoi sub-Responsabili.

8. Nel caso in cui per le prestazioni affidategli il Responsabile ritenga di avvalersi di ulteriori soggetti, il Titolare gli conferisce con la presente convenzione un’autorizzazione generale ad avvalersi di propri sub- responsabili.

Con la presente, pertanto, Regione Calabria, in qualità di Responsabile del trattamento dati, nomina l’operatore economico gestore del servizio di cui al progetto Calabria Login e alla piattaforma SAGEL, sub-Responsabile del Trattamento dati.

Il sub-Responsabile deve:

a) presentare garanzie sufficienti in termini di competenza e conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche e organizzative appropriate di modo che il trattamento dei dati risponda ai principi e alle esigenze del GDPR;

b) rispettare obblighi analoghi a quelli forniti dal Titolare al Responsabile del trattamento di cui al presente articolo. Qualora il sub- responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi del sub- responsabile;

c) adottare idonee e preventive misure di sicurezza tecniche ed organizzative appropriate, atte ad eliminare o, comunque, a ridurre al minimo qualsiasi violazione, rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’articolo 32 del GDPR.

9. Il Responsabile del trattamento metterà a disposizione, su richiesta del titolare del trattamento, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dal GDPR, sulle misure di sicurezza attuate e sulla loro efficacia, fornendo tutta la documentazione che sarà richiesta e collaborando attivamente alle attività di rilevazione e misura.

Art. 5 – Durata, modifiche e integrazioni

1. La presente Convenzione ha durata triennale a decorrere dalla sua sottoscrizione e può essere oggetto di rinnovo tacito.

2. La presente convenzione è unica per tutti gli enti. Modifiche e/o integrazioni saranno possibili in presenza di accordo tra le parti, oltre che nei casi in cui sia necessario a seguito del mutamento della normativa e dei Regolamenti adottati da AgID.

3. Nel caso in cui AgID ritenga necessario adeguare la Convenzione che designa la Regione Calabria quale Soggetto Aggregatore SPID, la stessa può esercitare il diritto di recesso entro quindici giorni dalla comunicazione da parte di AgID, informando i Soggetti Aggregati entro detto termine. In tal caso il Soggetto Aggregatore continua a fornire i servizi oggetto della presente Convenzione ai Soggetti Aggregati per novanta giorni decorrenti dal termine previsto per esercitare il diritto di recesso.

Art. 6 – Figure di riferimento per l’attuazione della convenzione

1. Sia il Soggetto Aggregato che il Soggetto Aggregatore nominano un proprio Referente ai fini della corretta applicazione della presente Convenzione e della gestione delle relative comunicazioni, che saranno inviati ad AgID.

a) Il Soggetto Aggregatore nomina quale proprio Referente

l’Xxx. Xxxxxxxx Xxxxxxxx, e-mail xxxxxxxx.xxxxxxxx@xxxxxxx.xxxxxxxx.xx; Posta Elettronica Certificata (PEC) xxxxxxxxxxxxxx.xxxxxxxxxx@xxx.xxxxxxx.xxxxxxxx.xx;

b) il Soggetto Aggregato Consiglio regionale della Calabria nomina quale proprio Referente il Xxxx. Xxxxxx Xxxxxxx Xxxxxxxxxx, e-mail xxxxxxx.xxxxxxxxxxx@xxxxxx.xx, Posta Elettronica Certificata (PEC) xxxxxxx.xxxxxxxxxxx@xxx.xxxxxx.xx.

2. Le parti si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei referenti.

Art. 7 – Inadempimenti e risoluzione della Convenzione

1. Quando nell’attività di valutazione, controllo o vigilanza, vengano riscontrati inadempimenti degli obblighi assunti con la presente Convenzione, il Soggetto Aggregatore invia una contestazione al Soggetto Aggregato, prescrivendo ove necessario le attività che devono essere attuate al fine del ripristino della regolarità del servizio reso agli utenti.

2. Nei casi di violazione di particolare gravità oppure nel caso di mancato adeguamento alle prescrizioni richieste, il Soggetto Aggregatore, nel termine assegnato, ha diritto di dichiarare risolta ipso jure la presente convenzione.

3. Nel caso in cui il Soggetto Aggregato cessi la propria attività di erogazione di servizi qualificati, la presente convenzione è risolta ipso jure.

Art. 8 – Disposizioni finali

1. La presente convenzione produce i suoi effetti a partire dalla data di sottoscrizione da parte della Regione Calabria.

2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.

per la Regione Calabria (Soggetto Aggregatore)	per l’Ente (Soggetto Aggregato)
Firmato digitalmente da	Firmato digitalmente da

Xxxxxxx Xxxxxxx Regione Calabria 14.02.2022

14:22:31

GMT+00:00

Xxxxxx Xxxxxxx Xxxxxxxxxx

Consiglio regionale della Calabria Dirigente 09.02.2022 16:43:01 GMT+01:00

ALLEGATO A

Il presente documento costituisce allegato alla Convenzione per l’adesione dei soggetti erogatori di servizi pubblici al Sistema Pubblico per le Identità Digitali per il tramite di Regione Calabria.

Oggetto del servizio

Con il decreto n. 76/2020, cosiddetto “semplificazioni”, tutti gli enti sono obbligati ad offrire ai cittadini la possibilità di accedere ai propri servizi digitali online attraverso autenticazione basata su SPID, CIE (Carta di Identità Elettronica) e CNS.

Il Sistema Pubblico di Identità Digitale (SPID) è il nuovo sistema di autenticazione che permette a cittadini e imprese di accedere con credenziali uniche ai servizi online pubblici e privati in maniera semplice, sicura e veloce.

La Regione Calabria, tramite il progetto CalabriaLogin, offre un servizio gratuito di intermediazione verso SPID attraverso la piattaforma SAGEL (Soggetto Aggregatore Gateway Enti Locali), che risiede presso il Datacenter di Regione Calabria.

L’ente che intende usufruire di tale servizio viene definito “Soggetto Aggregato”, mentre la Regione Calabria, che mette a disposizione servizi e infrastruttura di autenticazione, viene definito “Soggetto Aggregatore”.

Obblighi delle parti

Come specificato dall’art. 2 co. 2 della convenzione e dai regolamenti e avvisi emanati da AgID, il Soggetto Aggregato deve comunicare al Soggetto Aggregatore l’elenco dei servizi (es. portale istituzionale, servizio tributi ecc.) per i quali la cui autenticazione dovrà avvenire con SPID. Nell’ambito di questi servizi è necessario indicare, attraverso la compilazione di un modulo di adesione, la lista degli attributi SPID che devono essere tutti e soli quelli necessari per l’accesso al servizio richiesto, motivandone l’esigenza. Il Soggetto Aggregato, altresì, è tenuto a specificare il livello di sicurezza necessario per permettere di accedere ai propri servizi online.

Per la compilazione del modulo di adesione, qualora richiesto, il Soggetto Aggregatore fornirà apposito supporto.

Si rende altresì necessario, sia per una questione di user experience che di immagine del sistema, la standardizzazione delle interfacce, della comunicazione e dell’utilizzo del logo SPID (si rimanda a xxxxx://xxx.xxxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxxx_xxxxx/xxxxxx_xxxxxxxx/xxxx- notetecnicheinterfacce.pdf ).

Non sono previsti oneri a carico dei Soggetti Aggregati ad eccezione degli eventuali oneri per l’adeguamento dei propri servizi online all’integrazione alla piattaforma SAGEL del Soggetto Aggregatore.

Il Soggetto Aggregatore non può essere ritenuto responsabile di eventuali malfunzionamenti dei sistemi informatici del Soggetto Aggregato aderente in quanto non gestiti dal Soggetto Aggregatore medesimo.

I gestori del servizio e/o il personale del Soggetto Aggregato sono tenuti a fornire l’assistenza di primo livello agli utenti che dovessero riscontrare difficoltà nell’accesso ai servizi online tramite SPID. Qualora dovessero essere riscontrate anomalie di funzionamento nel meccanismo di autenticazione, occorrerà segnalarlo prontamente all’help desk di secondo livello, reso disponibile dal Soggetto Aggregatore all’indirizzo e-mail xxxxxxxxxxxx-xxxxxxxxxxxxx@xxx.xx.

L’indirizzo PEC del Soggetto Aggregatore per inviare o ricevere formali comunicazioni è il

seguente: xxxxxxxxxxxxxx.xxxxxxxxxx@xxx.xxxxxxx.xxxxxxxx.xx.

Le comunicazioni informali e tecniche avverranno tramite l’indirizzo email segnalazioni- xxxxxxxxxxxxx@xxx.xx.

Qualora necessario, il Soggetto Aggregatore si riserva la facoltà di sostituire tali indirizzi email e pec con altri indirizzi, segnalandolo opportunamente ai Soggetti Aggregati firmatari della convenzione.

Condizioni generali di servizio

Il Soggetto Aggregatore rende disponibile gratuitamente ai Soggetti Aggregati del territorio calabrese il servizio di intermediazione verso SPID tramite l'utilizzo della piattaforma SAGEL (Soggetto Aggregatore Gateway Enti Locali).

Il Soggetto Aggregato dichiara detto servizio di autenticazione idoneo a soddisfare le proprie esigenze.

Il Soggetto Aggregato assume ogni responsabilità in merito all'uso, alle modifiche, alle integrazioni e agli adattamenti dei propri programmi applicativi da integrare con la piattaforma SAGEL per l’accesso tramite SPID, anche in caso di violazione di diritti di brevetto, di autore ed in genere di privativa altrui. Pertanto, lo stesso si obbliga a manlevare e tenere indenne il Soggetto Aggregatore anche nel caso in cui venga promossa azione giudiziaria da parte di terzi, assumendo a proprio carico tutti gli oneri conseguenti, incluse le responsabilità per i danni verso terzi, le spese giudiziali e legali.

Impegni e responsabilità

Il Soggetto Aggregatore, quale soggetto proprietario dell’infrastruttura informatica erogante il servizio, fornisce al Soggetto Aggregato, a titolo gratuito, la piattaforma tecnologica per mezzo della quale usufruire delle funzionalità previste dal servizio di autenticazione. Il Soggetto Aggregato si impegna ad utilizzare il servizio con la diligenza dovuta e nel rispetto della normativa vigente in materia.

Il Soggetto Aggregatore declina ogni responsabilità per i danni diretti o indiretti, legati alla natura o alla perdita dei dati, derivanti o correlati all'utilizzo, incapacità di utilizzo, uso non autorizzato, posti in essere dagli utilizzatori del servizio.

Obbligo di riservatezza e ruoli delle parti

Il Soggetto Aggregatore garantisce la massima riservatezza dei contenuti, informazioni e dati personali ospitati nei server del proprio CED. Tale vincolo di riservatezza opera anche per il tempo successivo all'eventuale scadenza del rapporto tra le parti. Il Soggetto Aggregatore, all'eventuale conclusione del servizio, restituirà tutti i dati ancora memorizzati sui server regionali al soggetto Aggregato proprietario dei medesimi e Titolare del trattamento dei dati personali. Il Soggetto Aggregatore adotta, per la protezione e la conservazione dei dati personali, le stesse modalità tecniche adottate per le proprie procedure (salvataggi, back-up, ecc.) e garantisce i livelli di protezione di cui gode la rete regionale (ad. es. firewall, antivirus, ecc.). Nella gestione dei dati personali di cui al presente progetto, il Soggetto Aggregatore ha identificato l’operatore economico gestore del progetto CalabriaLogin quale “sub-Responsabile Esterno” del trattamento dei dati, con il compito, tra gli altri, di gestire il corretto funzionamento della piattaforma SAGEL per l'erogazione dei servizi e prodotti regionali, all'interno della quale i singoli Soggetti Aggregati inseriscono informazioni e dati personali connessi e necessari all’autenticazione utente. Il Soggetto Aggregatore in relazione ai medesimi dati personali di persone fisiche assume, altresì, il ruolo di Responsabile del Trattamento.

CIE e EIDAS

Per l’autenticazione tramite CIE e EIDAS, in fase di rilascio, la Regione Calabria svolgerà il ruolo di intermediario tecnologico e le modalità di adesione saranno dettagliate in un apposito modulo di richiesta.