DELIBERAZIONE DELLA GIUNTA COMUNALE

Comunicata ai Capigruppo Consiliari il 30/12/2010Nr. Prot. 34229

Affissa all'Albo Pretorio il 30/12/2010

COMUNE DI CALDERARA DI RENO

PROVINCIA DI BOLOGNA C O P I A

APPROVAZIONE DEL PROTOCOLLO DI ADESIONE AL PROGETTO "FEDERA" PER L'AUTENTICAZIONE E L'ACCESSO AI SERVIZI ON LINE.

Nr. Progr. 160

Data 14/12/2010

Seduta NR.

L'anno DUEMILADIECI questo giorno QUATTORDICI del mese di DICEMBRE alle ore 16:00 convocata con le prescritte modalità, nella solita sala delle adunanze si è riunita la Giunta Comunale.

Fatto l'appello nominale risultano:

Cognome	e	Nome	Carica	Presente
XXXXXX XXXXX			SINDACO	S
DELL'ORTO ONOFRIO			VICE SINDACO	S
XXXXXXX XXXXXX			ASSESSORE	S
XXXXX XXXXXX			ASSESSORE	N
XXXXX XXXXXXXX			ASSESSORE	S
TOTALE Presenti: 4			TOTALE Assenti: 1

Assenti Giustificati i signori:

XXXXX XXXXXX

Assenti Non Giustificati i signori:

Nessun convocato risulta assente ingiustificato

Partecipa il SEGRETARIO GENERALE del Comune, la Dott.ssa XXXXXXXX XXXXXXXXXX.

In qualità di SINDACO, la Sig.ra XXXXX XXXXXX assume la presidenza e, constatata la legalità della adunanza, dichiara aperta la seduta invitando la Giunta a deliberare sugli oggetti iscritti all'ordine del giorno.

OGGETTO:

APPROVAZIONE DEL PROTOCOLLO DI ADESIONE AL PROGETTO "FEDERA" PER L'AUTENTICAZIONE E L'ACCESSO AI SERVIZI ON LINE.

LA GIUNTA COMUNALE

Premesso che Lepida S.p.A. è una società, a capitale interamente pubblico, che ha il compito di realizzare e gestire la rete regionale per le pubbliche amministrazioni e di gestire, sviluppare ed erogare, per conto della Regione Xxxxxx-Romagna (di seguito indicata anche “Regione”), i servizi realizzati in attuazione delle iniziative del Piano Telematico dell’Xxxxxx-Romagna - pitER;

Dato atto che:

- il Comune di Calderara di Reno ha aderito alla Società Lepida S.p.A. con propria deliberazione di Consiglio Comunale n. 100 del 26.11.2009;

- l’erogazione di servizi da parte di Lepida S.p.A. è prevista per i soli soci;

Considerato che per creare i presupposti per la partecipazione congiunta e l’adesione anche onerosa alle finalità e ai progetti contenuti nel pitER, la Regione ha istituito la Community Network dell’Xxxxxx-Romagna (CN-ER), un’aggregazione territoriale verticale su base regionale, con una propria specifica identità, separata da quella degli Enti membri, i quali hanno aderito alla stessa sottoscrivendo apposita Convenzione;

Precisato che la governance, solida e partecipata, della CN-ER è attribuita al "Comitato permanente di indirizzo e coordinamento con gli enti locali", quale luogo della condivisione continua degli indirizzi e delle iniziative strategiche del territorio regionale, e che il compito di dare esecuzione e di gestire i progetti e le iniziative CNER è attribuito a Lepida S.p.A., quale soggetto attuatore ed erogatore dei progetti e dei servizi previsti dal pitER;

Dato atto che il Comune di Calderara di Reno consapevole del fatto che l’aggregazione, il fare sistema, nel campo dell’ICT e dell’e-government, è l’unica leva possibile per la diffusione dei servizi, l’aumento di competenze ICT in capo alla Pubblica Amministrazione e la non lievitazione dei costi di gestione, ha aderito alla Community Network dell'Xxxxxx-Romagna con propria deliberazione di Consiglio Comunale n. 63 del 26.09.2007;

Considerato che il Piano telematico dell’Xxxxxx-Romagna prevede, tra l’altro, la realizzazione del progetto fedERa, il sistema di identità digitale e piattaforma di federazione di Provider di identità digitale. Il sistema fornisce sia una piattaforma di identità, con funzioni di registrazione e autenticazione utenti, che una piattaforma di federazione dei sistemi di identità, al fine di condividere e far circolare le identità degli utenti su vari servizi di vari Enti, attraverso l’utilizzo di una credenziale elettronica unica riconosciuta come valida all’interno della federazione stessa;

Ritenuto pertanto di aderire al progetto fedERa, in quanto accordo attuativo della CN-ER, oltre che essere presupposto per erogare servizi on-line nell’ambito dei progetti di riuso;

Acquisito, ai sensi dell'art. 49, I comma del D.Lgs. 267/2000 T.U.E.L., l’allegato parere di regolarità tecnica reso dal Responsabile del Settore amministrativo e per le politiche dello sviluppo locale;

A voti unanimi, resi nei modi di legge,

D E L I B E R A

1) Di approvare il protocollo di adesione al progetto “FEDERA”, nel testo allegato al presente atto per formarne parte integrante e sostanziale;

2) Di dare atto che al suddetto protocollo sono allegati anche i seguenti documenti:

- Allegato 1 - Linee Guida Organizzative

- Allegato 2 - Condizioni Generali di Fornitura

- Allegato 3 - Allegato Tecnico

- Allegato 4 - Offerta Economica

3) Di stabilire che le modalità di autenticazione per gli utenti prescelte, di cui all’art. 2 - comma 4, lett. A - della suddetta convenzione, sono le seguenti:

a. de visu: riconoscimento diretto dell’utente che si presenta allo sportello;

b. invio documentazione cartacea: l’utente esegue una registrazione on-line ed invia la documentazione che ottiene all’ufficio dell’ente preposto che ne verifica i dati;

c. invio documentazione elettronica: l’utente esegue una registrazione on-line e firma digitalmente la documentazione che ottiene e la sottopone attraverso il sistema fedERa all’ufficio dell’ente, che ne deve verificare la validità;

4) Di dare atto che il protocollo verrà sottoscritto dal Responsabile del Settore amministrativo e per le politiche dello sviluppo locale;

5) di dichiarare, con separata ed esplicita votazione unanime, la presente deliberazione immediatamente eseguibile, ai sensi dell’art. 134, comma 4, del D.lgs. 18 agosto 2000 n. 267.

All.ti: 1 – protocollo adesione

2 - Linee Guida Organizzative

3 - Condizioni Generali di Fornitura 4 - Allegato Tecnico

5 - Offerta Economica 6 – parere

DELIBERAZIONE DELLA GIUNTA COMUNALE NR. 160 DEL 14/12/2010

Xxxxx, approvato e sottoscritto.

IL SINDACO IL SEGRETARIO GENERALE

X.xx XXXXX XXXXXX X.xx XXXX.XXX XXXXXXXX XXXXXXXXXX

CERTIFICATO DI PUBBLICAZIONE.

Copia della presente deliberazione viene pubblicata all'Albo Pretorio dal 30/12/2010 al 14/01/2011

ai sensi e per gli effetti dell'Art. 124 - comma 1 - T.U.E.L. - D. Lgs. 267/2000.

Addì, 30/12/2010

MESSO COMUNALE

X.xx XXXXXXX XXXXXXXXXX

DICHIARAZIONE DI CONFORMITÀ

È COPIA CONFORME ALL'ORIGINALE.

Addì, 30/12/2010 ISTRUTTORE SEGRETERIA XXXXXXX XXXXXXXX

ATTESTAZIONE DI ESECUTIVITÀ

La presente deliberazione è stata pubblicata nei termini sopraindicati. Contestualmente all'affissione all'Albo è stata comunicata ai Capigruppo Consiliari.

È divenuta esecutiva il 09/01/2011 dopo il decimo giorno di pubblicazione, ai sensi dell'Art. 134, comma 3 del T.U.E.L. - D. Lgs. 267/2000.

Addì, 10/01/2011

IL SEGRETARIO GENERALE

X.xx XXXX.XXX XXXXXXXX XXXXXXXXXX

COMUNE DI CALDERARA DI RENO

PROVINCIA DI BOLOGNA

DELIBERAZIONE DELLA GIUNTA COMUNALE

Numero Proposta 307 del 13/12/2010

Numero Delibera 160 del 14/12/2010

Settore/Servizio: SERVIZI AI CITTADINI E ALLE IMPRESE / U.O. ANAGRAFE, ELETTORALE, STATO CIVILE, DEMOGR., STAT., LEVA, SERV. CIVILE

OGGETTO

APPROVAZIONE DEL PROTOCOLLO DI ADESIONE AL PROGETTO "FEDERA" PER L'AUTENTICAZIONE E L'ACCESSO AI SERVIZI ON LINE.

PARERI DI CUI ALL' ART. 49 DEL TUEL - D. LGS. 267/2000

Per quanto concerne la REGOLARITA' TECNICA esprime parere:

FAVOREVOLE

Data 14/12/2010 IL RESPONSABILE DEL SETTORE X.xx Dott.ssa XXXXXXXXXX XXXXXXX

Allegato 1

Servizio

Modello organizzativo e gestionale della federazione fedERa

INDICE

1. INTRODUZIONE 3

1.1. Federazione 3

1.2. Progetto fedERa – autenticazione federata 3

1.3. Scopo del documento 3

1.4. Destinatari 3

2. PRIVACY E TRATTAMENTO DEI DATI: DEFINIZIONE E RUOLI 4

2.1. Definizione di “Titolare del trattamento dei dati” in base al Codice della Privacy 4

2.1.1. Titolare del Trattamento dei dati nel progetto fedERa: Community Network

dell’Xxxxxx Xxxxxxx (CN-ER) 4

2.2. Definizione di “Responsabile del trattamento dei Dati” in base al Codice della Privacy 5

2.2.1. Responsabili del trattamento dei dati fedERa 5

2.2.2. Ruolo di Lepida S.p.A.: Gestore della Federazione 5

2.2.3. Identity Provider 6

2.2.4. Service Provider 8

2.3. Definizione di “Incaricati del trattamento dei dati” in base al Codice della Privacy 8

2.4. Definizione di “Interessati al trattamento dei dati” in base al Codice della Privacy 8

3. ORGANIZZAZIONE 9

3.1. Come costituirsi Identity Provider con i propri sistemi 9

3.2. Come usare l'Identity Provider di fedERa in service 9

3.3. Come esporre i propri servizi ad utenti fedERa 10

ALLEGATI 11

1. INTRODUZIONE

1.1. Federazione

La Federazione è un insieme di soggetti il cui obiettivo principale è fornire ai cittadini accesso a servizi telematici, attraverso l’utilizzo di una credenziale elettronica unica riconosciuta come valida all’interno della Federazione stessa.

1.2. Progetto fedERa – autenticazione federata

E’ il sistema di identità digitale e piattaforma di federazione di Provider di identità digitale, previsto dal pitER 2007-2009. Il sistema fornisce sia una piattaforma di identità, con funzioni di registrazione e autenticazione utenti, che una piattaforma di federazione dei sistemi di identità, al fine di condividere e far circolare le identità degli utenti su vari servizi di vari Enti.

1.3. Scopo del documento

Il presente documento ha lo scopo di definire il modello organizzativo e gestionale della Federazione, andando a definire i soggetti coinvolti, stabilendone ruoli, responsabilità e le modalità di interazione tra gli stessi.

Analizza in particolare la compatibilità del sistema della federazione con la normativa in materia di privacy e tutela dei dati personali.

1.4. Destinatari

I destinatari di tale documento sono tutti i soggetti coinvolti nella Federazione.

2. PRIVACY E TRATTAMENTO DEI DATI: DEFINIZIONE E RUOLI

2.1. Definizione di “Titolare del trattamento dei dati” in base al Codice della Privacy

In base al Codice della Privacy, il soggetto che stabilisce come trattare (cioè come gestire) i dati personali che riguardino altri soggetti (c.d. “interessati”), dei quali sia entrato in possesso legittimamente, viene chiamato “Titolare del trattamento dei dati” e viene definito dall’art. 4 co.1 lett. f): "la persona fisica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza".

Il Codice della Privacy (Art. 28) stabilisce, inoltre, che: "Quando il trattamento è effettuato da una persona giuridica, da una Pubblica Amministrazione o da un qualsiasi altro Ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza".

Pertanto, è bene tenere presente che il Titolare del trattamento non è la persona fisica legale rappresentante, oppure delegata in materia dagli organi preposti, né un organo interno, bensì la persona giuridica nel suo complesso.

Qualora il Titolare designi uno, o più, Responsabili del trattamento, saranno questi ultimi a svolgere le attività correlate al trattamento dei dati, quali, a titolo esemplificativo: designare/organizzare gli incaricati e fornire loro le opportune istruzioni, applicare il sistema di sicurezza, catalogare i trattamenti dei dati e le banche-dati, attuare gli obblighi di informativa/acquisizione, consenso e gestione reclami nei confronti degli interessati (utenti).

2.1.1. Titolare del Trattamento dei dati nel progetto fedERa: Community Network dell’Xxxxxx Xxxxxxx (CN-ER)

La Community Network (CN-ER), istituita con la delibera regionale 1045/07 per creare le condizioni organizzative per dare attuazione alle finalità e ai progetti contenuti nel pitER (2007- 2009), è un’aggregazione territoriale verticale su base regionale (Art. 30 TUEL), con propria identità, con propria sede (presso la sede della Regione Xxxxxx-Romagna, cui è conferito potere di rappresentanza della CN-ER stessa), con una governance solida e partecipata, affidata al “Comitato permanente di indirizzo e coordinamento con gli enti locali” (Art. 6, comma 4 LR 11/04), e con uno specifico ruolo attivo da parte della Società Lepida S.p.A.

Con la Convenzione che dà vita alla CN-ER si è realizzato l’Accordo Quadro fra gli Enti aderenti, da cui sono derivati e deriveranno, durante il periodo di validità, gli specifici accordi attuativi per l’adesione alle singole iniziative del pitER, fra cui anche il progetto fedERa: l’atto di adesione a fedERa rappresenta un accordo attuativo della CN-ER. In detto accordo è riportato il presente modello organizzativo e gestionale del progetto (servizi offerti ecc.), con i ruoli e le responsabilità delle parti oltre alle modalità di interazione tra gli stessi.

La CN-ER rappresenta un unico grande soggetto aggregatore, distinto dagli Enti partecipanti, che assume la qualità di soggetto Titolare del trattamento dei dati afferenti al progetto fedERa, autonomo rispetto ai partecipanti.

Alla CN-ER, nel suo complesso, competono, come sopra indicato, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (Art. 4 co.1 lett. f) e art. 28 Codice Privacy).

2.2. Definizione di “Responsabile del trattamento dei Dati” in base al Codice della Privacy

Il Responsabile del trattamento dei dati è: “la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, Associazione od Organismo preposti dal Titolare al trattamento di dati personali” (Art. 4 comma 1, lettera g) - Codice Privacy) .

A titolo esemplificativo le azioni tipiche del Responsabile del trattamento sono: designare/organizzare gli incaricati e fornire loro le opportune istruzioni, applicare il sistema di sicurezza, catalogare i trattamenti dei dati e le banche-dati, attuare gli obblighi di informativa/acquisizione, consenso e gestione reclami nei confronti degli interessati (utenti).

2.2.1. Responsabili del trattamento dei dati fedERa

La CN-ER, come Titolare del trattamento dei dati, tramite il “Comitato permanente di indirizzo e coordinamento con gli enti locali”, individua come Responsabili del trattamento dei dati:

- Lepida S.p.A., Gestore di fedERa;

- i singoli Enti aderenti al progetto, partecipanti alla CN-ER.

La Regione Xxxxxx-Romagna aderisce al progetto fedERa con le stesse modalità degli altri Enti partecipanti alla Community Network.

2.2.2. Ruolo di Lepida S.p.A.: Gestore della Federazione

Lepida S.p.A. è il Gestore della Federazione, ovvero il soggetto apicale che gestisce direttamente i dati ed il sistema della Federazione nel suo complesso, governando inoltre l’interazione tra i soggetti.

E’ suo onere infatti curare i rapporti tra i vari attori della Federazione, garantendone il funzionamento.

Compiti e attività del Gestore

Il Gestore della Federazione, in qualità di Responsabile del Trattamento dei dati:

- nei confronti del Titolare (CN ER): si occupa della manutenzione del sistema di gestione dei dati e della coordinazione dei loro trattamenti; cura i rapporti tra i membri della Federazione;

- nei confronti degli Identity Provider (Enti federati): si occupa di far accedere al progetto fedERa gli Enti interessati e curarne i rapporti con i Service Provider. In particolare:

o attribuendo il ruolo di Identity Provider di fedERa agli Enti membri della CN ER:

▪ che attualmente raccolgono dati-utente esclusivamente per i propri servizi (consentendo loro di portare all’interno del sistema della Federazione dati utente già posseduti, eventualmente mantenendo la propria infrastruttura tecnologica, integrandola opportunamente con il sistema);

▪ che sono sprovvisti di sistema di identificazione utenti;

▪ gestendo il Trattamento dei dati raccolti dagli Identity Provider, in relazione all’attività del Service Provider;

- nei confronti dei Service Provider: si occupa di trasmettere i dati raccolti dagli Identity Provider, integrandoli all’interno del sistema della Federazione al fine di consentire ai Service Provider di rendere i servizi disponibili agli utenti;

- nei confronti degli utenti: offre servizi agli utenti esclusivamente in maniera indiretta, ovvero garantendo il funzionamento della Federazione e l’espletamento dei compiti dei membri della stessa (back office).

Responsabilità del Gestore

E’ responsabilità del Gestore della Federazione garantire:

- il funzionamento dei sistemi di gestione della Federazione nel suo complesso e dei servizi di outsourcing per l’espletamento del ruolo di Identity Provider con i sistemi della Federazione stessa;

- l’aderenza agli standard della Federazione da parte di tutti i soggetti coinvolti, al fine di consentire la corretta interazione tra tutti i soggetti e l’espletamento dei servizi rivolti agli utenti;

- la coerenza semantica dei Circle of Trust in termini di livello di affidabilità delle credenziali digitali ad esso afferenti;

- supporto per soggetti aderenti alla federazione in termini di adesione alla federazione, per l’integrazione dei servizi e per la disponibilità di servizi di help desk.

2.2.3. Identity Provider

Gli Identity Provider sono gli Enti che interagiscono direttamente con gli utenti, raccogliendone i dati sull’identità e verificandone l’identità in fase di accesso ai servizi, trasmettendo poi le informazioni sull’identità stessa al Gestore della Federazione (Lepida S.p.A.).

Al fine di diventare Identity Provider, l’Ente interessato deve aver aderito alla Community Network.

L’Identity Provider svolge principalmente due compiti:

- registrazione: servizio di Registration Authority, che permette di identificare l’utente e di registrare le informazioni sulla sua identità digitale associando un livello di affidabilità coerente al processo di acquisizione delle informazioni stesse;

- identificazione: servizio di associazione delle informazioni di identità ad un soggetto interagente con il sistema, sulla base della presentazione di credenziali di riconoscimento attraverso vari meccanismi a vari livelli di sicurezza.

Possono svolgere il ruolo di Identity Provider di fedERa gli Enti appartenenti alla CN-ER:

- già dotati di sistema di identificazione utenti, che raccolgono dati-utente esclusivamente per i propri servizi;

- sprovvisti di un proprio sistema di identificazione utenti.

Ente già dotato di sistema di identificazione utenti

Nel caso in cui il soggetto (membro CN-ER), che diventa Identity Provider sul sistema fedERa, disponga di dati utente precedentemente acquisiti su altri sistemi, sarà possibile la migrazione dei dati medesimi, a condizione che l’utente a cui si riferiscono i dati abbia preso visione di un’informativa ai sensi dell’ Art. 13 del Codice Privacy (All. 1: informativa standard CN-ER).

L'Ente, inoltre, può diventare Identity Provider in fedERa utilizzando il sistema fedERa oppure mantenendo i propri sistemi. In quest’ultimo caso, l’Ente si impegna a:

- seguire le procedure del sistema fedERa per il riconoscimento dell’utente;

- fornire il servizio di registrazione secondo gli standard del sistema fedERa;

- fornire il servizio di identificazione aderendo agli standard di comunicazione del sistema fedERa in termini di:

▪ Interfacce di comunicazione;

▪ Funzionamento;

▪ livelli di servizio offerti.

L’Identity Provider che aderisce alla federazione, ma con sistemi propri, assume principalmente due responsabilità:

- riconoscere gli utenti e registrarli, garantendo il servizio ai propri utenti con i propri sistemi (Registration Authority);

- identificare gli utenti offrendo loro il servizio di autenticazione con livelli di disponibilità e funzionalità adeguati (Identificazione).

Registration Authority

Per l’espletamento dei servizi di Registration Authority, l’Identity Provider deve garantire che il processo di riconoscimento degli utenti avvenga in maniera equivalente ad una delle procedure previste dalla Federazione, stabilendo conseguentemente il livello di fiducia dato dai soggetti aderenti agli utenti registrati.

Identificazione

L’Identity Provider deve implementare gli standard tecnologici fedERa. L'adesione dell'IdP locale è subordinato alla positiva esecuzione di un test di interoperabilità con il sistema fedERa.

Ente sprovvisto di un proprio sistema di identificazione utenti

Un Ente (membro CN-ER), sprovvisto di un proprio sistema di identificazione utenti, può diventare Identity Provider all’interno della Federazione utilizzando il sistema fedERa, che offre servizi per la registrazione utenti e per l’autenticazione.

L’Identity Provider che aderisce alla federazione (sprovvisto di propri sistemi di identificazione) assume principalmente la responsabilità di riconoscere gli utenti e registrarli, mentre demanda al sistema fedERa la responsabilità di identificare gli utenti in fase di accesso ai servizi (e di far prendere visione all’utente dell’informativa ai sensi dell’ Art. 13 del Codice Privacy - All. 1: informativa standard CN-ER).

Per la registrazione degli utenti il sistema fedERa mette a disposizione un’applicazione per:

- inserire i dati di un utente nel riconoscimento “de visu”, permettendo di consegnare una busta cieca per l’attribuzione di una password;

- modificare i dati dell’utente ad eccezione dei dati anagrafici;

- stampare i dati di un utente per l’accettazione;

- incrementare il livello di affidabilità delle credenziali di un utente;

- sospendere o disabilitare un utente;

- riabilitare un utente;

- rimuovere le informazioni di identità di un utente;

- associare nuovamente una busta cieca all’utente nel caso di necessità.

Registration Authority

Per l’espletamento dei servizi di Registration Authority, l’Identity Provider deve scegliere tra le possibili forme di servizio:

- registrazione de visu: rendere disponibile uno sportello con orari di apertura al pubblico al quale gli utenti verranno indirizzati per il riconoscimento di persona secondo le procedure stabilite per fedERa;

- registrazione con invio di documentazione cartacea: rendere disponibile un servizio di ricezione documentazione cartacea via posta ordinaria o via fax che, ricevuta la documentazione, espleti le relative procedure di riconoscimento per fedERa;

- registrazione con invio di documentazione elettronica: rendere disponibile un servizio di ricezione di documentazione elettronica (basata sul sistema fedERa) che, ricevuta la documentazione elettronica, espleti le relative procedure di riconoscimento per fedERa;

- registrazione con invio di Raccomandata AR: rendere disponibile un servizio di invio Raccomandate AR per l’identificazione degli utenti secondo le relative procedure di riconoscimento per fedERa.

Identificazione

Verrà creata un’apposita configurazione per ogni Ente della Federazione affinché possa diventare un Identity Provider effettivo del sistema FedERa, verso cui gli utenti possono presentare le proprie credenziali per l’identificazione.

2.2.4. Service Provider

Alcuni degli Enti federati si avvalgono di Service Provider (nominati Responsabili del trattamento dei dati di cui gli Enti stessi sono Titolari, al di fuori del progetto fedERa) per fornire servizi agli utenti. Tali Enti, una volta entrati nella Federazione come Identity Provider, potranno continuare ad avvalersi dei Service Provider, che, però, dovranno integrarsi correttamente con gli Identity Provider stessi.

Il Service Provider, infatti, per potere fornire il servizio all’utente nel progetto fedERa dovrà permettere a quest’ultimo di autenticarsi in modo corretto verso l’Identity Provider, che è il solo che lo può riconoscere.

Ovvero, per riconoscere un utente che non si è ancora identificato, il Service Provider deve redirigere l’utente verso un Identity Provider, facendo a quest’ultimo una richiesta di autenticazione secondo gli standard tecnologici del sistema fedERa. Una volta autenticato, l’utente ritornerà sul Service Provider che sarà in grado di riconoscerlo.

Il Service Provider ha la responsabilità di trattare i dati provenienti dall'autenticazione di fedERa solo ed esclusivamente ove strettamente necessario all'erogazione all'interessato del servizio espressamente richiesto dal medesimo e nei limiti dello stesso.

Per diventare Service Provider è necessario aderire agli standard di comunicazione del sistema fedERa per l’interazione con gli Identity Provider.

2.3. Definizione di “Incaricati del trattamento dei dati” in base al Codice della Privacy

Gli Incaricati del trattamento dei dati sono: “le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile” (Art. 4 comma 1, lettera h) - Codice Privacy) .

In concreto, sono gli operatori (operatori call center, impiegati URP, ecc) che interagiscono direttamente con gli utenti, raccogliendone i dati sull’identità.

2.4. Definizione di “Interessati al trattamento dei dati” in base al Codice della Privacy

Gli Interessati al trattamento dei dati (Art. 4 comma 1 lettera i) - Codice Privacy) sono: “le persone fisiche, la persona giuridica, l’Ente o l’Associazione cui si riferiscono i dati personali”, cioè gli utenti che accedono ai servizi della Federazione.

Gli utenti interagiscono con l’Identity Provider, verso cui si registrano (fornendo direttamente o indirettamente i propri dati) e dal quale vengono identificati.

Nella registrazione gli utenti devono prendere visione di un’informativa che consenta all’Identity Provider di trasmettere ai Service Provider le informazioni relative al profilo dell’utente, al fine di permettere il corretto svolgimento del servizio (vedi all. 1: informativa standard CN ER).

I dati censiti nel sistema della Federazione, una volta visionata l’informativa da parte dell’utente, potranno essere trasmessi in modo automatico e senza richiesta di consenso esplicito, ai Service Provider che ne fanno richiesta.

L’utente potrà richiedere in qualsiasi momento al Gestore la rimozione dei propri dati dal sistema della Federazione, ottenendo un’immediata cancellazione dei dati stessi e l’impossibilità ad accedere con le proprie credenziali.

3. ORGANIZZAZIONE

3.1. Come costituirsi Identity Provider con i propri sistemi

Al fine di costituirsi Identity Provider con i propri sistemi un Ente deve:

- Predisporre tecnicamente il proprio sistema di autenticazione affinché sia conforme allo standard fedERa per l’autenticazione utente

- Sottoscrivere un contratto/convenzione con Lepida S.p.A. in cui si impegna a fornire i servizi di identificazione e registrazione secondo gli standard Lepida per quanto riguarda:

o Il riconoscimento degli utenti secondo vari livelli di affidabilità:

▪ Auto registrazione,

▪ Identificazione per mezzo della fornitura di dati relativi a SIM/USIM,

▪ Identificazione certa;

o e con vari metodi di autenticazione:

▪ Userid/password,

▪ One time password,

▪ Utilizzo di smart card di riconoscimento quali CIE o CNS.

o L’applicazione, agli utenti identificati in modo certo, di password policy conformi alla legge sulla privacy, in particolare tre livelli di policy possibili:

▪ nessuna policy,

▪ policy per la gestione di dati personali,

▪ policy per la gestione di dati sensibili.

o La conformità agli standard tecnologici di interazione per il sistema di autenticazione, dettati da fedERa e descritti sul sito xxx.xxxxxx.xx

o La fornitura di End Point di autenticazione secondi i livelli di affidabilità delle credenziali e delle policy relative alla password:

▪ utente auto registrato (livello C);

▪ utente riconosciuto per mezzo di SIM/USIM (livello B);

▪ utente riconosciuto personalmente in modo certo (livello A) e senza password policy;

▪ utente riconosciuto personalmente in modo certo (livello A+) e con password policy per dati personali;

▪ utente riconosciuto personalmente in modo certo (livello A++) e con password policy per dati sensibili.

Una volta forniti i dati l’Identity Provider verrà censito tra i fornitori di identità del sistema fedERa ed entrerà a far parte ufficialmente della federazione con i propri utenti.

3.2. Come usare l'Identity Provider di fedERa in service

L’ Identity Provider:

- fornisce i propri dati identificativi per la configurazione dei sistemi,

- indica gli operatori che saranno preposti a svolgere l’attività di Registration Authority (incaricati del trattamento),

- si impegna a fornire il servizio di registrazione utenti secondo gli standard del sistema fedERa .

L’identity Provider dovrà sottoscrivere un apposito contratto/convenzione in cui indica quali servizi di registrazione utilizzerà per gli utenti:

- de visu : riconoscimento diretto dell’utente che si presenta allo sportello;

- invio documentazione cartacea: l’utente esegue una registrazione on-line ed invia la documentazione che ottiene all’ufficio dell’Ente preposto che ne verifica i dati;

- invio documentazione elettronica: l’utente esegue una registrazione on-line e firma digitalmente la documentazione che ottiene e la sottopone attraverso il sistema fedERa all’ufficio dell’Ente, che ne deve verificare la validità;

- invio di raccomandate con ricevute di ritorno: l’utente esegue un registrazione on-line e richiede all’ufficio dell’Ente (se si tratta del comune di residenza) di inviargli una raccomandata con ricevuta di ritorno per provare la veridicità dei dati sottoposti;

- dichiara di seguire le procedure di registrazione e riconoscimento utenti dettate da Lepida

S.p.A. e scelte tra quelle citate al punto precedente;

- fornisce i dati degli operatori che eseguiranno le operazioni di registrazione, garantendone l’identità;

- fornisce i dati per l’espletamento dei suddetti servizi, in particolare:

- nome dell’organizzazione

- indicazione se trattasi di Ente pubblico o privato

- tipo organizzazione (Provincia, Comune, altro Ente)

- indicazione dell’Ente se Provincia o Comune

- il titolare dei dati trattati

- numero di FAX

- email e contatto per la registration authority

- indirizzo completo presso cui troverà sede la registration authority

- il tipo di registrazione che intende fare tra quelli citati al Art. 2 comma 4 Lettera A del Protocollo di adesione

- l’indirizzo internet (URL) a cui l’Ente renderà disponibili informazioni per gli orari e le sedi della registration authority

- il nome del dominio che l’Identity Provider adotterà

- il tipo di policy per la password adottata di default per gli utenti

- il logo dell’Ente

Una volta forniti tutti i dati l’Identity Provider verrà istanziato all’interno del sistema fedERa e l’Ente potrà iniziare le operazioni di registrazione degli utenti sul sistema.

3.3. Come esporre i propri servizi ad utenti fedERa

Un Service Provider che esporrà i propri servizi integrandoli con il sistema fedERa dovrà:

- predisporre tecnicamente i servizi affinché siano conformi allo standard fedERa per l’ottenimento delle informazioni dell’utente autenticato attraverso il sistema fedERa;

- sottoscrivere un contratto di adesione alle federazione in cui indicare:

o l’indirizzo a cui il servizio sarà reso disponibile

o attributi utente di cui il servizio deve disporre tra quelli resi disponibili dal sistema fedERa

o scopi e modalità di trattamento dei dati del servizio

o impegno a non comunicare a terzi i dati utente ricevuti

o il bacino di utenza che il servizio ha e i requisiti minimi di affidabilità che il servizio richiede in termini di tipo di identificazione dell’utente

Una volta forniti i dati il Service Provider verrà inserito nel sistema fedERa ed entrerà quindi a far parte della federazione.

Il Service Provider riceverà inoltre dati opportuni di configurazione affinché possa far interagire correttamente il proprio servizio con il sistema fedERa.

ALLEGATI

Informativa standard CN-ER

Allegato 1.1. - Informativa per il trattamento dei dati personali

1. Premessa

Ai sensi dell’art. 13 del D.Lgs. n. 196/2003 - “Codice in materia di protezione dei dati personali” (di seguito denominato “Codice”), la Community Network dell’Xxxxxx-Romagna (di seguito indicata anche “CN-ER”), in qualità di “Titolare” del trattamento, è tenuta a fornirle informazioni in merito all’utilizzo dei suoi dati personali.

Il trattamento dei suoi dati per lo svolgimento di funzioni istituzionali da parte della Community Network dell’Xxxxxx-Romagna, in quanto soggetto pubblico non economico, non necessita del suo consenso.

2. Finalità del trattamento

In virtù di quanto sopra, alla luce dell'articolo 13 (informativa) del Codice citato e successive modificazioni ed integrazioni, La informiamo che i Suoi dati personali saranno trattati solo ed esclusivamente per una o più delle seguenti finalità: registrazione utente nei nostri archivi cartacei ed informatici, rilascio e gestione delle credenziali; certificazione dell'identità dell'utente, identificazione a distanza dell'utente, gestione della identità digitale; finalità amministrative; adempimento di prescrizioni normative; rilevazione del grado di soddisfazione degli utenti; rilevazione ed analisi statistica.

3. Modalità del trattamento

Il trattamento può consistere in: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione, distruzione, dei dati personali. La raccolta dei dati avviene direttamente presso l’utente, di persona o per via informatica/telematica, nonché presso altri Enti/Istituzioni/Organismi. I dati forniti vengono trattati manualmente o a mezzo del nostro sistema informatico, nel rispetto delle predette finalità ed in modo da garantire la sicurezza e la riservatezza dei dati medesimi. La conservazione si potrà protrarre anche dopo la cessazione del servizio per le finalità predette. Il trattamento dei dati è effettuato dal Titolare del trattamento nonché dai Responsabili e dagli Incaricati individuati da questi.

4. Comunicazione e Diffusione

I dati trattati non sono soggetti a diffusione. I dati potranno essere comunicati a tutti gli organi preposti a verifiche e controlli circa la regolarità degli adempimenti di cui alle finalità indicate. I dati potranno essere comunicati e trasmessi ai Service Provider, al Gestore della Federazione e ad ogni Ente membro della CN-ER ai fini del corretto svolgimento del procedimento, della corretta gestione dei servizi erogati, del raggiungimento delle finalità indicate.

5. Facoltatività del conferimento dei dati

Il conferimento dei dati è facoltativo, ma in mancanza non sarà possibile adempiere alle finalità descritte al punto 2 (“Finalità del trattamento”).

6. Categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di Responsabili o Incaricati

Esclusivamente per le finalità previste al paragrafo 2 (Finalità del trattamento), possono venire a conoscenza dei dati personali società terze fornitrici di servizi per la Community Network, previa designazione in qualità di Responsabili del trattamento e garantendo il medesimo livello di protezione.

I suoi dati personali potranno essere conosciuti esclusivamente dagli operatori individuati quali Incaricati del trattamento dal Titolare o dai Responsabili del trattamento.

7. Diritti dell'Interessato

La informiamo, infine, che la normativa in materia di protezione dei dati personali conferisce agli Interessati la possibilità di esercitare specifici diritti, in base a quanto indicato all’art. 7 del “Codice” che qui si riporta:

1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L’interessato ha diritto di ottenere l’indicazione:

dell’origine dei dati personali;

delle finalità e modalità del trattamento;

della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;

degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, comma 2;

dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;

la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’interessato ha diritto di opporsi, in tutto o in parte:

per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

8. Titolare e Responsabili del trattamento

Il Titolare del trattamento dei dati personali di cui alla presente Informativa è la Community Network dell’Xxxxxx-Romagna, sita in Bologna, Xxxxx Xxxx Xxxx x. 00, xxx 00000 xxxxxx xx xxxx xxxxx Xxxxxxx Xxxxxx-Xxxxxxx.

La Community Network dell’Xxxxxx-Romagna ha designato quale Responsabile del trattamento, in qualità di Gestore del progetto fedERa, Lepida S.p.A., con sede in Bologna, Xxxxx Xxxx Xxxx 00, Xxx 00000. La stessa è responsabile del riscontro, in caso di esercizio dei diritti sopra descritti.

La Community Network dell’Xxxxxx-Romagna ha designato responsabili dei trattamenti di raccolta e gestione dati gli enti che rilasciano credenziali fedERa limitatamente ai propri domini utente. L’elenco aggiornato degli altri Responsabili del trattamento dei dati è disponibile sul xxx.xxxxxx.xx.

Allegato 2

Servizio

Condizioni generali di fornitura

Premessa 3

Art. 1 - Oggetto della fornitura 3

Art. 2 - Attivazione del Servizio e realizzazione delle Attività 3

Art. 3 - Durata del Contratto 3

Art. 4 - Recesso 3

Art. 5 - Corrispettivi e modalità di fatturazione 3

Art. 6 - Imposte e Tasse 4

Art. 7 - Modifiche o integrazioni al Contratto 4

Art. 8 - Proprietà intellettuale 4

Art. 9 - Riservatezza 4

Art. 10 - Trattamento dati personali (Legge n. 196/2003) 5

Art. 11 - Limitazioni di responsabilità 5

Art. 12 - Caso Fortuito e Forza Maggiore 6

Art. 13 - Sospensione del servizio 6

Art. 14 - Garanzie e manleva 6

Art. 15 - Condizione risolutiva 8

Art. 16 - Clausola risolutiva espressa (art. 1456 c.c.) 8

Art. 17 - Cessione del Contratto 8

Art. 18 - Proprietà 8

Art. 19 - Legge applicabile e foro competente 9

Art. 20 - Disposizioni Varie 9

Art. 21 - Comunicazioni 9

Premessa

Le presenti Condizioni Generali di Fornitura (di seguito indicate anche come Condizioni Generali), l’Offerta Economica (di seguito indicata anche solo come “Offerta”) e il documento di Caratteristiche Tecniche e Livello di Servizio (di seguito anche indicato come “Allegato Tecnico”) costituiscono gli elementi minimi del Contratto stipulato tra Lepida S.p.A. (nel seguito anche solamente “Lepida”) e il Cliente (nel seguito anche indicati congiuntamente come le “Parti”).

Il Contratto si intenderà, pertanto, perfezionato con l’accettazione dell’offerta da parte del Cliente, che conterrà in allegato le presenti Condizioni Generali e l’Allegato Tecnico oltre agli eventuali ulteriori allegati specifici.

Le presenti Condizioni Generali, parte integrante del Contratto, regolano i rapporti tra Lepida e il Cliente, in relazione alle attività e/o servizi oggetto della fornitura.

Quanto non espressamente indicato nelle presenti Condizioni Generali, verrà disciplinato nell’Offerta o nell’Allegato Tecnico.

Art. 1 - Oggetto della fornitura

Oggetto della fornitura sono i materiali, le prestazioni , le attività e i servizi descritti nell’Allegato Tecnico che costituisce parte integrante del Contratto stipulato tra le parti.

Art. 2 - Attivazione del Servizio e realizzazione delle Attività

I Servizi e le Attività oggetto della fornitura saranno realizzati o attivati con le modalità e i tempi specificati nell’Offerta e nell’Allegato Tecnico.

Art. 3 - Durata del Contratto

La durata del contratto decorre dalla Data di Consegna fino alla scadenza prevista nell’Offerta; l’eventuale rinnovo dovrà essere concordato in forma scritta tra le Parti almeno tre (3) mesi prima della scadenza.

Art. 4 - Recesso

E’ escluso il recesso anticipato; qualora il Cliente intendesse recedere anticipatamente dal Contratto, esso sarà tenuto a corrispondere a Lepida il 100% (cento per cento) dei corrispettivi relativi alle attività svolte fino al momento del recesso e il 50% (cinquanta per cento) dei corrispettivi mensili non goduti dalla data di recesso fino alla scadenza del contratto.

Art. 5 - Corrispettivi e modalità di fatturazione

I corrispettivi relativi alle singole attività e/o il servizio offerti verranno corrisposti a Lepida a fronte della emissione di regolare fattura nei tempi e nelle modalità definite all’interno nell’offerta.

In caso di ritardato pagamento, Lepida avrà diritto di percepire gli interessi moratori per ritardato pagamento al saggio indicato dall'art. 5 del D.Lgs. 09.10.2002 n. 231. Gli interessi moratori decorreranno automaticamente, senza necessità di messa in mora, dalla scadenza del termine di pagamento indicato in fattura e/o dalla scadenza delle singole ricevute bancarie eventualmente emesse ai sensi del D.Lgs. n. 231/02. Lepida avrà altresì diritto ad ottenere il

rimborso dei costi dallo stesso sostenuti anche a titolo di spese legali per il recupero delle somme non tempestivamente corrispostegli oltre al maggior danno eventualmente subito ai sensi dell'art. 6 del D.Lgs. n. 231/02.

In caso di ritardato pagamento del corrispettivo dovuto e fermo restando quanto previsto nel comma precedente, Lepida avrà la facoltà di sospendere le Attività o il Servizio, previa comunicazione con raccomandata A/R e decorsi 15 giorni solari dal ricevimento della medesima. In tal caso, i servizi offerti saranno sospesi fino al regolare pagamento del dovuto. Resta comunque inteso che anche in caso di sospensione, i corrispettivi contrattualmente pattuiti continueranno ad essere fatturati fino alla scadenza naturale del Contratto.

Dalla sospensione di cui sopra, non potrà farsi discendere da parte del Cliente o da qualsiasi soggetto dallo stesso avente causa – quali a mero titolo esemplificativo, clienti ed utenti del medesimo – alcuna responsabilità per danni per qualsivoglia titolo

Art. 6 - Imposte e Tasse

Tutti i corrispettivi indicati nell’offerta, sono da intendersi al netto di tutte le imposte e tasse applicabili.

Il Contratto, qualora avente per oggetto operazioni soggette ad imposta sul valore aggiunto, ai sensi degli artt. 3 e 4 del D.P.R. 633 del 26.10.1972 sarà soggetto a registrazione solamente in caso d’uso e con il pagamento dell’imposta in misura fissa ai sensi degli artt. 5 e 40 del D.P.R. 131 del 26.04.1986.

Art. 7 - Modifiche o integrazioni al Contratto

Nel caso in cui, nel corso della durata del Contratto, il Cliente intendesse richiedere attività e/o servizi opzionali o ulteriori rispetto a quanto già contrattualizzato, dovrà darne comunicazione a Lepida.

Le condizioni economiche , le caratteristiche tecniche e i livelli di servizio relativi ai servizi e attività aggiuntive saranno oggetto di ulteriore offerta da parte di Lepida.

Lepida si riserva la facoltà di modificare le specifiche tecniche del Servizio o dei dispositivi, limitarne le caratteristiche, variarne la configurazione nel rispetto degli impegni contrattualmente assunti.

Art. 8 - Proprietà intellettuale

Resta inteso che il Contratto non implica o realizza alcuna forma di associazione o altra compartecipazione tra le Parti. Pertanto, ciascuna di esse rimarrà titolare di tutti i diritti di proprietà intellettuale facenti loro rispettivamente capo. In particolare, Lepida non potrà vantare alcuna pretesa sui diritti di proprietà intellettuale relativa ai servizi forniti dal Cliente, ed il Cliente non potrà vantare alcuna pretesa sui diritti di proprietà intellettuale relativi all’Attività e/o ai Servizi ed al know-how di Lepida.

Art. 9 - Riservatezza

Le Parti prendono atto e riconoscono che, nel corso dell’esecuzione del Contratto, esse potranno venire a conoscenza di notizie ed informazioni riguardanti l’altra Parte. A seguito di ciò, ciascuna Parte si impegna a trattare con la massima riservatezza ed a non divulgare alcuna informazione riguardante l’altra Parte, salvo che non si tratti di informazioni che siano già di pubblico dominio o che la comunicazione debba essere effettuata a fronte di un ordine dell’Autorità Giudiziaria.

Art. 10 - Trattamento dati personali (Legge n. 196/2003)

Quanto definito nel presente articolo non potrà essere applicato nell'ambito del progetto fedERa per il quale i profili di responsabilità, ai fini della disciplina in materia di trattamento di dati personali, verranno indicati nelle Linee Guida Organizzative.

In conformità a quanto previsto dalla Legge n. 196/2003, i dati raccolti o che saranno comunicati tra le Parti, saranno utilizzati esclusivamente per le finalità indicate nel Contratto e relativi Allegati. Tali dati potranno essere conservati su archivi cartacei e/o su archivi elettronici nel rispetto delle misure di sicurezza previste dalla Legge 196/2003 e potranno essere comunicati per le finalità del trattamento a tutti gli eventuali attori coinvolti nella attività e servizi oggetto della fornitura di cui al Contratto

Il titolare del trattamento è Lepida. L’elenco dei responsabili al trattamento dei dati personali e dei terzi destinatari delle comunicazioni è disponibile presso la sede di Lepida o sul sito web di Lepida raggiungibile all’indirizzo xxx.xxxxxx.xx

La sottoscrizione dell’offerta ha anche valore di consenso conferito reciprocamente dalle Parti relativamente al trattamento dei dati con le modalità e per le finalità di cui al presente articolo.

Le Parti si riconoscono reciprocamente la possibilità di esercitare, in qualsiasi momento, i diritti di cui all’art. 7 della legge 196/2003.

Il Cliente è e rimarrà unico responsabile della raccolta e del trattamento dei dati relativi al suo personale, a suoi consulenti, collaboratori, fornitori nonché dei clienti del medesimo e di tutti gli utenti dei servizi forniti dal Cliente attraverso il Servizio, senza che in alcun modo possa essere fatta discendere alcuna responsabilità in capo a Lepida. Il Cliente rilascia a tal fine ampia manleva a Lepida, impegnandosi a tenere quest’ultima indenne da qualsiasi richiesta risarcitoria dovesse essere avanzata da terzi in ragione di pretese violazioni della normativa inerente al trattamento dei dati personali.

Art. 11 - Limitazioni di responsabilità

Quanto definito nel presente articolo non potrà essere applicato per i servizi di Data Center per il quale le limitazioni di responsabilità verranno indicate nell’Allegato Tecnico.

Salvi i casi previsti da norme imperative di legge, dolo o colpa grave, la responsabilità di Lepida a qualunque titolo derivante dal Contratto, compresa quella determinata da qualsiasi azione per vizi, inadempimento, mancata o ritardata rimozione di un disservizio, sarà limitata al danno diretto e prevedibile al momento della sottoscrizione del Contratto e non si estenderà ai danni indiretti senza alcuna limitazione e ivi inclusi quelli ascrivibili a lucro cessante, perdita di opportunità, ritardo negli incassi, perdita di dati , ecc.

Lepida non sarà responsabile nel caso di malfunzionamenti e/o interruzioni che comportino la sospensione delle Attività e/o dell’erogazione del Servizio imputabili a:

• forza maggiore/caso fortuito e fenomeni meteorologici avversi;

• atti dolosi o colposi, e comunque ad azioni e/o omissioni del Cliente o clienti del medesimo;

• problemi tecnici del Cliente, dei terzi operanti per conto del Cliente e dei suoi clienti;

• manomissioni o interventi sulle infrastrutture effettuati da parte del Cliente, dei clienti del medesimo ovvero da parte di terzi non autorizzati;

• malfunzionamento, inidoneità o assenza di omologazione delle attrezzature installate dal Cliente ;

• inadempimenti del Cliente a leggi o regolamenti applicabili (incluse leggi e regolamenti in materia di sicurezza, prevenzione incendi e infortunistica);

• errato utilizzo del Servizio da parte del Cliente;

• problemi riconducibili alla configurazione dei dispositivi hardware o della rete di comunicazione ovvero malfunzionamenti dei terminali o dei dispositivi utilizzati dal Cliente;

• attività e/o decisioni governative e/o dalla pubblica amministrazione, provvedimenti dell’autorità giudiziaria e/o regolamentari che inibiscono lo svolgimento dell’Attività e/o l’erogazione del Servizio o la sospensione o revoca della licenza o delle autorizzazioni.

Per quanto non esplicitamente previsto nell’ Allegato tecnico Lepida non sarà responsabile verso il Cliente e/o verso i soggetti direttamente o indirettamente connessi al Cliente stesso e/o verso terzi, per danni, perdite o costi subiti in conseguenza di sospensioni o interruzioni delle Attività o del Servizio .

Il Cliente assume esclusiva responsabilità per tutto quando non definito nel presente documento e nell’ Allegato Tecnico.

Art. 12 - Caso Fortuito e Forza Maggiore

Lepida non sarà responsabile dei propri inadempimenti ad alcuna delle obbligazioni previste nel Contratto qualora sia in grado di provare che si sia verificata una delle tre seguenti condizioni:

• che l’inadempimento è stato provocato da un evento fortuito totalmente al di fuori del suo controllo;

• che non era ragionevole aspettarsi che Lepida, al momento di sottoscrivere il Contratto tenesse in considerazione la possibilità di verificarsi di tale evento ed i suoi effetti;

• che non era ragionevolmente possibile evitare o porre rimedio a detto evento o quantomeno ai suoi effetti.

Oltre alle condizioni sopra descritte, Lepida non potrà altresì essere ritenuta responsabile per le situazione definibili causa di “Forza Maggiore” e di seguito esposte a titolo esemplificativo ma non esaustivo: di guerra e sue conseguenze, rivoluzioni, insurrezioni, ostilità belliche, invasioni, ribellioni, sommosse, interruzioni nell’erogazione di energia elettrica, interruzione sospensione o soppressione delle dorsali primarie delle linee di comunicazione, blocco dei trasporti, incendio, inondazioni, terremoti, scioperi nazionali, serrate, atti di terrorismo, espropriazioni, confische o distruzioni ordinate da Autorità Governative, divieti restrizioni e ordini delle Autorità Pubbliche, catastrofi naturali.

In presenza di causa di “Forza Maggiore”, Lepida deve darne comunicazione al Cliente senza indugio e adempiere le proprie obbligazioni non appena sarà venuto meno l’evento di “Forza Maggiore”. Qualora l’evento di “Forza Maggiore” continui e produca i suoi effetti per un periodo superiore ai 30 giorni, il Cliente avrà facoltà di risolvere il Contratto senza alcuna responsabilità a carico di Lepida.

E’ in ogni caso esclusa la risarcibilità del maggior danno.

Art. 13 - Sospensione del servizio

In caso di guasti alla rete e agli apparati di erogazione del Servizio, che siano dovuti a caso fortuito o a forza maggiore Lepida potrà sospendere in ogni momento, anche senza preavviso, il Servizio in tutto o in parte. Lepida potrà sospendere l'erogazione del Servizio anche in caso di modifiche e/o manutenzioni atte a migliorare il Servizio stesso.

Art. 14 - Garanzie e manleva

Fermo restando quanto previsto negli altri paragrafi delle presenti Condizioni Generali, il Cliente garantisce che l’utilizzo del Servizio da parte sua o di terzi rispetterà la normativa vigente ed in particolare:

• che laddove il Servizio sia utilizzato per lo svolgimento di attività per le quali la legge preveda il possesso di autorizzazioni, licenze o iscrizione ad Albi (da ora anche le “Autorizzazioni”), il Cliente farà in modo che il rilascio delle Autorizzazioni sia precedente all’inizio dell’attività;

• che attraverso il Servizio non saranno veicolati da parte del Cliente, o dei clienti/utenti del medesimo, contenuti che possano cagionare danni o turbative al funzionamento di sistemi informatici o telematici, ad operatori di telecomunicazioni, ad altri utenti in genere, ovvero per diffondere materiale diffamatorio, ingiurioso, osceno o che, comunque violi le leggi ed i regolamenti vigenti o diritti di terzi o sia, comunque, offensivo del pudore e contrario al decoro, facendosi carico di ogni responsabilità per le conseguenze e /o danni causati dall’utilizzo del Servizio da parte di terzi;

• che effettuerà il trattamento dei dati personali dei suoi utenti e clienti nel rispetto della normativa vigente.

Nell’eventualità in cui soggetti terzi, senza l’autorizzazione del Cliente, utilizzino il Servizio, il Cliente esplicitamente assume ogni responsabilità per tutte le conseguenze, mantenendo indenne Lepida da ogni pregiudizio che possa derivarne.

Il Cliente riconosce che l’uso dei servizi Internet non garantisce la protezione da tentativi di accesso non autorizzati da parte di terzi, senza che nessuna responsabilità possa ascriversi a Lepida danni cagionati da tali accessi abusivi.

Il Cliente garantisce che qualunque materiale o messaggio, eventualmente immesso sulla rete Internet o in aree pubbliche delle reti di telecomunicazioni, riconducibile allo stesso è di propria titolarità e/o nella propria disponibilità giuridica e non viola alcun diritto di terzi, pertanto si obbliga a manlevare e tenere indenne Lepida da ogni eventuale conseguenza pregiudizievole dipendente dalle informazioni o dai contenuti diffusi, esonerando espressamente lepida da ogni onere di accertamento o controllo.

Il Cliente prende, inoltre, atto del fatto che è vietato servirsi o dar modo ad altri di utilizzare il Servizio contro le norme imperative, l’ordine pubblico e il buon costume o con lo scopo di recare molestia alla quiete pubblica o privata, di recare offesa, o danno diretto o indiretto a terzi e di tentare di violare comunque il segreto delle comunicazioni private.

Più in particolare è fatto espresso divieto per il Cliente di utilizzare tecniche di “mail spamming” o equivalenti (invio di messaggi di posta elettronica non sollecitati e/o senza espressa autorizzazione del destinatario di qualsivoglia contenuto e verso qualsivoglia destinatario).

A tale proposito il Cliente riconosce sin da ora la totale estraneità di Lepida rispetto all’attività svolta dal Cliente stesso attraverso il Servizio ed i suoi contenuti, per questo manleva e comunque ritiene indenne Lepida da qualsiasi richiesta risarcitoria dovesse essere a quest’ultima rivolta da terzi asseritamente danneggiati dall’attività svolta dal Cliente.

Fermo il diritto di Lepida di invocare la risoluzione automatica del Contratto ai sensi di quanto previsto negli altri paragrafi delle presenti Condizioni Generali, è altresì in facoltà di Lepida sospendere a propria discrezione, immediatamente e senza preavviso, il Servizio ogni qualvolta ricorra fondato motivo di ritenere la sussistenza di una violazione da parte del Cliente degli obblighi di cui ai precedenti commi del presente articolo, senza che da tale sospensione possa farsi discendere da parte del Cliente o da qualsiasi soggetto dallo stesso avente causa, quali a mero titolo esemplificativo clienti ed utenti del medesimo, alcuna responsabilità per danni per qualsivoglia titolo.

Art. 15 - Condizione risolutiva

Nel caso in cui, in virtù di decisione definitiva e non oppugnabile di organi competenti dell’Unione Europea e/o della Pubblica Amministrazione e/o di Autorità di Regolamentazione e/o Giudici Ordinari e/o Amministrativi, sia revocata, annullata, o sia disposta la cessazione degli effetti di una licenza, concessione e/o autorizzazione esistente in capo alle Parti, e necessaria per l’esecuzione del Contratto, lo stesso s’intenderà risolto ai sensi dell’art. 1353 c.c. Il verificarsi della condizione risolutiva non avrà alcun effetto riguardo alle prestazioni già eseguite.

Art. 16 - Clausola risolutiva espressa (art. 1456 c.c.)

Lepida avrà il diritto di sospendere le Attività o il Servizio e di ritenere risolto di diritto il Contratto nei seguenti casi:

a) mancato pagamento dei corrispettivi dovuti nei termini di quanto definito nel precedente Articolo 5;

b) uso improprio del Servizio e/o dell’infrastruttura;

c) inadempimento da parte del Cliente alle disposizioni di cui all’art. 14;

d) qualora il Cliente sia assoggettato a procedure esecutive o concorsuali o versi comunque in stato di insolvenza.

Lepida avrà facoltà di risolvere di diritto il Contratto con semplice comunicazione al Cliente della propria volontà di avvalersi della clausola risolutiva espressa, anche mediante telefax o posta elettronica,restando inteso che i servizi offerti saranno immediatamente interrotti e che tutti i corrispettivi contrattualmente pattuiti continueranno ad essere fatturati fino alla scadenza naturale del Contratto.

In ogni caso di risoluzione del Contratto restano salvi tutti i diritti di ciascuna Parte maturati prima della data della risoluzione.

Art. 17 - Cessione del Contratto

Per cessione del Contratto ai sensi del presente articolo si intende ogni e qualsiasi atto mediante il quale una Parte trasferisca in tutto o in parte a terzi il Contratto e/o qualsiasi diritto, interesse o obbligo nascente dal medesimo.

Le Parti non potranno cedere il Contratto, totalmente o parzialmente, direttamente o indirettamente, senza previo consenso scritto dell’altra Parte, pena l’inefficacia assoluta della cessione.

Il divieto non si applica in caso di cessione del Contratto a società controllata, controllante o collegata, così definita ai sensi dell’art. 2359, 1°co. del Codice Civile.

Art. 18 - Proprietà

Le Parti reciprocamente riconoscono e si danno atto che né la stipula del Contratto né la sua esecuzione comportano, né comporteranno, il trasferimento al Cliente di diritti di proprietà di beni e/o materiali fatti salvi quelli esplicitamente indicati nel Contratto stesso.

Art. 19 - Legge applicabile e foro competente

Il Contratto e le obbligazioni da esso derivanti sono interamente soggette alla legge italiana anche se eseguite in tutto o in parte all’estero.

Per tutte le controversie circa esistenza, validità, interpretazione, esecuzione ed adempimento del presente contratto le Parti si obbligano ad esperire preventivamente un tentativo di conciliazione, utilizzando le modalità previste dalla C.C.I.A.A. di Bologna. Nell'ipotesi di fallimento della procedura conciliativa, la competenza relativamente alle controversie insorte tra le parti appartiene in via esclusiva al Tribunale di Bologna, nel rispetto delle norme inderogabili in materia di giurisdizione e competenza, con espressa esclusione della possibilità di accedere ad arbitrato.

Art. 20 - Disposizioni Varie

Il Contratto rappresenta l’unico ed intero accordo vigente tra le Parti per quanto attiene al suo oggetto, ed in ogni caso annulla e sostituisce integralmente ogni precedente patto dovesse essere intercorso in materia tra le Parti.

In caso di discordanza, quanto previsto nell’Offerta, nell’Allegato Tecnico o in eventuali accordi, intese o protocolli sottoscritti tra le Parti sarà ritenuto vincolate e prevalente rispetto alle disposizioni contenute nelle presenti Condizioni Generali.

L’eventuale declaratoria di nullità di una delle clausole del Contratto non comporta automaticamente la nullità delle altre clausole.

Ogni modifica del Contratto sarà ritenuta valida unicamente se risultante da atto sottoscritto delle Parti, avente data certa successiva a quella della stipulazione del Contratto stesso.

Art. 21 - Comunicazioni

Ogni comunicazione inerente al Contratto dovrà essere formulata per iscritto dal Cliente e dovrà esplicitamente riportare i riferimenti al Contratto stesso (numero del contratto, numero di protocollo, data, oggetto).

Le comunicazioni – da inviare ai recapiti specificati nel Contratto o suoi Allegati - si considerano effettuate:

a) in caso di invio a mezzo fax, al momento del ricevimento risultante dallo specifico rapporto di trasmissione con esito positivo;

b) in caso in invio a mezzo e-mail, al momento della conferma della stessa ovvero al momento della conferma di ricezione della comunicazione da parte del ricevente;

c) in caso di lettera raccomandata o di telegramma, al momento del ricevimento degli stessi;

d) in caso di consegna a mano, al momento della firma della ricevuta di consegna per opera del ricevente.

Per ogni comunicazione che prevede esplicitamente l’utilizzo della raccomandata A/R l’indirizzo di spedizione – a meno di diversa indicazione contenuta nel Contratto o suoi Allegati - dovrà essere:

Lepida S.p.A.

Xxxxx Xxxx Xxxx, 00 00000 Xxxxxxx

Allegato 3

Servizio

Allegato tecnico

CARATTERISTICHE TECNICHE E LIVELLI DEL SERVIZIO

Premessa

Le presenti condizioni definiscono le modalità di erogazione al Cliente del servizio fedERa offerto da Lepida S.p.A. e specificati nell’offerta di cui costituiscono allegato.

Il sistema viene reso disponibile con i seguenti livelli di servizio:

Le componenti incluse nel servizio fedERa sono:

1. Connessione Service Provider al Gateway

2. Connessione Identity Provider al Gateway

3. Sistema di gestione utenti in modalità ASP

Di seguito vengono riportate le descrizioni delle componenti sopra descritte.

Connessione Service Provider al Gateway

La connessione di un Service Provider al Gateway consente al Service Provider di utilizzare gli utenti degli Identity Provider collegati allo stesso Gateway.

Il Gateway supporta Service Provider PEOPLE basati sul protocollo SAML 1.1, Service provider che rispettano lo standard ICAR basato su SAML 2.0, Service Provider Shibboleth2 basati sul protocollo SAML 2.0 e Service Provider realizzati con il Service Provider toolkit java di fedERa basati sul protocollo SAML 2.0 e distribuito sul sito Lepida spa.

Al fine di configurare correttamente i Service Provider, Lepida spa fornirà l’url dei metadati SAML del Gateway, tutta la necessaria manualistica di configurazione e supporto durante i test di integrazione.

Connessione Identity Provider al Gateway

La connessione di un Identity Provider al Gateway consente agli utenti registrati dall’Identity provider di accedere ai Service provider collegati al Gateway.

Il Gateway supporta Identity Provider del sistema PEOPLE basati su SAML 1.1, Identity Provider del sistema ICAR basati su SAML 2.0 e Identity Provider Shibboleth2 basati su SAML 2.0.

Al fine di configurare correttamente gli Identity Provider, Lepida S.p.A. fornirà l’url dei metadati SAML del Gateway, tutta la necessaria manualistica di configurazione e supporto durante i test di integrazione.

Sistema di gestione utenti in modalità ASP

Il sistema consente di gestire tramite un applicativo web un proprio dominio di utenti, identificato da un nome di dominio univoco “<ente>.xxxxxx.xx”. Tramite l’applicativo web gli operatori dell’ente possono registrare nuovi utenti e rilasciare ad essi credenziali di accesso del tipo username e password tramite le seguenti procedure di registrazione:

• nuova registrazione a seguito di identificazione de visu e distribuzione in presenza di password in busta cieca,

• conferma preregistrazione a seguito di invio documentazione certificante l’identità dell’utente a norma di legge,

• registrazione effettuata completamente online dall’utente tramite CIE o CNS.

Gli operatori possono inoltre cercare, visualizzare le informazioni, rimuovere o sospendere utenti, e associare una nuova busta cieca.

In caso di malfunzionamenti o problemi nell’utilizzo del sistema gli operatori potranno rivolgersi ad un help desk con i seguenti livelli di servizio:

richieste e-mail

telefoniche

orari di disponibilità del servizio

dalle 08 alle 18 dal lunedì a venerdì.

Dalle 08 alle 13 il sabato.

richieste telefoniche

tempo intercorso tra l’inizio della chiamata e la risposta da parte dell’operatore

≤ 30” (95%

trimestre)

dei

casi

nel

richieste e-mail

tempo intercorso tra l’invio della e-Mail e la risposta per conferma da parte di un operatore

≤ 10’ (95%

trimestre)

dei

casi

nel

tutte le richieste

tempo intercorso tra la presa in carico della segnalazione e la soluzione del problema o l’inoltro ad un help desk di II livello

≤ 20’ (95%

trimestre)

dei

casi

nel

Il sistema mette inoltre a disposizione degli utenti una form di preregistrazione e una di login personalizzate con nome e logo del’ente.

Le informazioni gestite dal sistema sono quelle identificative dell’utente (codice fiscale, nome, cognome, sesso, data e luogo di nascita) e quelle previste dal profilo PEOPLE ad eccezione del certificato in formato X509 per firma elettronica debole. Il sistema, inoltre, NON mette a disposizione una casella di posta elettronica certificata ma consente di indicarne una già in possesso dell’utente.

Ai domini utente della componente di gestione utenti di fedERa corrisponde un Identity Provider SAML 2.0 nativamente collegato al Gateway fedERa, e quindi gli utenti registrati in fedERa hanno accesso a tutti i servizi collegati al Gateway.

Allegato 4

Servizio

Offerta economica

La presente offerta definisce le condizioni economiche relative all’utilizzo di fedEra, in linea con quanto definito nel protocollo di adesione al progetto.

Costo per Categoria di Ente: rappresenta il canone annuale per l’utilizzo di fedERa. Il costo annuale comprende i servizi descritti nell’Allegato Tecnico.

Non viene applicato nessun costo all’ ENTE fino alla scadenza del Contratto

Condizioni di Fornitura

Attivazione:

L’attivazione è prevista entro 30 giorni dalla firma del protocollo di adesione al progetto “fedERa”

Scadenza Contrattuale

Il presente contratto entra in vigore alla data della sua sottoscrizione e ha

durata triennale. Il presente contratto può essere prorogato per ulteriori tre anni mediante accordo scritto tra le parti.

Responsabile fornitura:

Il nostro responsabile di progetto Vi sarà comunicato al ricevimento del contratto firmato

PROTOCOLLO DI ADESIONE AL PROGETTO fedERa

tra

LEPIDA S.p.A., con sede legale in Xxxxxxx, Xxxxx Xxxx Xxxx 00, C.F. e P.IVA 02770891204, in persona del Direttore Generale Prof. Xxx. Xxxxxxxx Xxxxxxx, in seguito anche denominata “Lepida S.p.A.” o “Società”

e

Comune di Calderara di Reno, con sede in Xxxxxxxxx xx Xxxx, X.xxx Xxxxxxx x. 0, C.F. 00543810378 in persona del , in seguito anche denominata “Ente” o “Comune”

premesso che

- Lepida S.p.A. è una società, a capitale interamente pubblico, che ha il compito di realizzare e gestire la rete regionale per le pubbliche amministrazioni e di gestire, sviluppare ed erogare, per conto della Regione Xxxxxx- Romagna (di seguito indicata anche “Regione”), i servizi realizzati in attuazione delle iniziative del Piano Telematico dell’Xxxxxx-Romagna - pitER;

- per creare i presupposti per la partecipazione congiunta e l’adesione anche onerosa alle finalità e ai progetti contenuti nel pitER, la Regione ha istituito la Community Network dell’Xxxxxx-Romagna (CN-ER), un’aggregazione territoriale verticale su base regionale, con una propria specifica identità, separata da quella degli Enti membri, i quali hanno aderito alla stessa sottoscrivendo apposita Convenzione;

- la governance, solida e partecipata, della CN-ER è attribuita al "Comitato permanente di indirizzo e coordinamento con gli enti locali", quale luogo della condivisione continua degli indirizzi e delle iniziative strategiche del territorio regionale;

- il compito di dare esecuzione e di gestire i progetti e le iniziative CN-ER è attribuito a Xxxxxx S.p.A., quale soggetto attuatore ed erogatore dei progetti e dei servizi previsti dal pitER;

- il Comune di Calderara di Reno consapevole del fatto che l’aggregazione, il fare sistema, nel campo dell’ICT e dell’e-government, è l’unica leva possibile per la diffusione dei servizi, l’aumento di competenze ICT in capo alla Pubblica Amministrazione e la non lievitazione dei costi di gestione, ha aderito alla Community Network dell'Xxxxxx-Romagna e ne è membro a tutti gli effetti;

- il Comune di Calderara di Reno, consapevole del fatto che l’erogazione di servizi da parte di Lepida S.p.A. è prevista per i soli soci, ha aderito all'aumento di capitale deliberato dalla Società;

- il Piano telematico dell’Xxxxxx-Romagna prevede, tra l’altro, la realizzazione del progetto fedERa, il sistema di identità digitale e piattaforma di federazione di Provider di identità digitale. Il sistema fornisce sia una piattaforma di identità, con funzioni di registrazione e autenticazione utenti, che una piattaforma di federazione dei sistemi di identità, al fine di condividere e far circolare le identità degli utenti su vari servizi di vari Enti, attraverso l’utilizzo di una credenziale elettronica unica riconosciuta come valida all’interno della federazione stessa;

- il Comune di Calderara di Reno intende aderire al progetto fedERa, in quanto accordo attuativo della CN- ER;

- l’art. 1.5 della sopracitata Convenzione istitutiva della CN-ER attribuisce alla Regione il potere di rappresentanza della CN-ER stessa;

- la Regione, preso atto del suddetto potere di rappresentanza conferitole dalla CN-ER, con la delibera di Giunta n. 1045/2007 ha stabilito che all’approvazione e alla sottoscrizione degli specifici accordi attuativi della Convenzione provvederà il Direttore Generale della Direzione generale centrale Organizzazione, Personale, Sistemi Informativi e Telematica;

- con determina n. 957 del 4 Febbraio 2010 il Direttore Generale della Direzione generale centrale Organizzazione, Personale, sistemi informativi e telematica, Dott. Xxxxxxx Xxxxxxxx, ha approvato lo schema del presente protocollo di adesione, con i relativi allegati e ha delegato Lepida S.p.A., in persona del Direttore Generale, a sottoscrivere i singoli protocolli di adesione.

Tutto ciò premesso

Tra le parti si conviene e stipula quanto segue

Articolo 1

1. Le premesse e gli allegati costituiscono parte integrante del presente protocollo.

2. In particolare, il Comune dichiara di condividere ed approvare le Linee Guida Organizzative (All. 1), le Condizioni Generali di Fornitura (All. 2), l’Allegato Tecnico (All. 3), l’Offerta Economica (All. 4).

Articolo 2

1. Il Comune con la sottoscrizione del presente Protocollo aderisce al progetto fedERa, come accordo attuativo della CN-ER, costituendosi "Identity Provider", con le modalità e le funzioni descritte nell'Allegato 1.

2. In particolare, il Comune, essendo sprovvisto di proprio sistema di identificazione utenti, dichiara di costituirsi Identity Provider utilizzando fedERa come sistema di gestione di identità con le modalità di seguito indicate.

3. Il Comune si impegna a:

- fornire a Lepida S.p.A. i propri dati identificativi per la configurazione dei sistemi;

- indicare gli operatori che saranno preposti a svolgere l’attività di Registration Authority (incaricati del trattamento);

- fornire il servizio di registrazione utenti secondo gli standard del sistema fedERa;

4. Il Comune si impegna inoltre a:

A. indicare quali servizi di registrazione utilizzerà per gli utenti:

a. de visu: riconoscimento diretto dell’utente che si presenta allo sportello;

b. invio documentazione cartacea: l’utente esegue una registrazione on-line ed invia la documentazione che ottiene all’ufficio dell’ente preposto che ne verifica i dati;

d. invio di raccomandate con ricevute di ritorno: l’utente esegue un registrazione on-line e richiede all’ufficio dell’ente (se si tratta del comune di residenza) di inviargli una raccomandata con ricevuta di ritorno per provare la veridicità dei dati sottoposti.

B. dichiarare di seguire le procedure di registrazione e riconoscimento utenti previste dal progetto fedERA e scelte tra quelle citate al punto precedente

C. Fornire i dati degli operatori che eseguiranno le operazioni di registrazione, garantendone l’identità

D. Fornire i dati per l’espletamento dei suddetti servizi, in particolare:

a. Nome dell’organizzazione

b. Indicazione se trattasi di ente pubblico o privato

c. Tipo organizzazione (provincia, comune, altro ente)

d. Indicazione dell’ente se provincia o comune

e. Il titolare dei dati trattati

f. Numero di FAX

g. Email e contatto per la registration authority

h. Indirizzo completo presso cui troverà sede la registration authority

i. Il tipo di registrazione che intende fare tra quelli citati all’ Art. 2 comma 4 Lettera A.

j. L’indirizzo internet (URL) a cui l’ente renderà disponibili informazioni per gli orari e le sedi della registration authority

k. Il nome del dominio che l’identity provider adotterà

l. Il tipo di policy per la password adottata di default per gli utenti

m. Il logo dell’ente

5. Una volta adempiuto a tutti gli impegni di cui sopra, l’Identity Provider verrà istanziato all’interno del sistema fedERa e l’Ente potrà iniziare le operazioni di registrazione degli utenti sul sistema.

Articolo 3

1. Il Comune prende atto e riconosce espressamente che Lepida S.p.A. è il Gestore della federazione, ovvero il soggetto apicale che gestisce direttamente i dati ed il sistema della federazione nel suo complesso, governando inoltre l’interazione tra i soggetti, curando i rapporti tra i vari attori della federazione e garantendone il funzionamento, come meglio descritto nell' Allegato 1.

Articolo 4

1. Il Comune prende atto e riconosce espressamente che, come meglio specificato nell'Allegato 1:

- la CN-ER, nella sua qualità di soggetto aggregatore, distinto dagli Enti partecipanti, ha la qualità di soggetto Titolare del trattamento dei dati afferenti al progetto fedERa, autonomo rispetto ai partecipanti e che allla CNER, nel suo complesso, competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

- la CN-ER, come Titolare del trattamento dei dati individua come Responsabili del trattamento dei dati:

o Lepida S.p.A., Gestore di fedERa (back office);

o tutti gli Enti partecipanti alla CN-ER, previa loro adesione al sistema fedERa in qualità di Identity Provider, e accettazione delle conseguenti responsabilità di trattamento dati.

2. Il Comune, pertanto, prende atto e riconosce espressamente che la sottoscrizione del presente Protocollo costituisce altresì accettazione della designazione a responsabile del trattamento dei dati, relativamente al progetto fedERa, per i trattamenti richiesti all'Identity Provider, individuati nel presente Protocollo e nell'Allegato n.1.

3. In ottemperanza delle disposizioni di cui al D.Lgs. 196/2003, il Comune dichiara di aver preso visione delle misure di sicurezza fisiche e logiche previste nel progetto fedERa e di averle ritenute conformi a quanto prescritto dalla normativa citata.

4. In ogni caso, il Comune si impegna a rispettare le prescrizioni previste dal progetto fedERa e, comunque, a garantire l’adozione di idonee misure minime di sicurezza tecniche, informatiche, organizzative, logistiche e procedurali per custodire e controllare i dati in modo da ridurre al minimo i rischi di distruzione o perdita anche parziale, l’accesso non autorizzato, il trattamento non consentito o non conforme alle finalità.

Articolo 5

1. Lepida S.p.A. fermo quanto previsto negli articoli precedenti e negli allegati, provvederà a garantire:

a. il funzionamento dei sistemi di gestione della federazione nel suo complesso e dei servizi di outsourcing per l’espletamento del ruolo di Identity Provider con i sistemi della federazione stessa;

b. l’aderenza agli standard della federazione da parte di tutti i soggetti coinvolti, al fine di consentire la corretta interazione tra tutti i soggetti e l’espletamento dei servizi rivolti agli utenti;

c. la coerenza semantica dei Circle of Trust in termini di livello di affidabilità delle credenziali digitali ad esso afferenti;

d. il supporto per soggetti aderenti alla federazione in termini di adesione alla federazione, per l’integrazione dei servizi e per la disponibilità di servizi di help desk.

Articolo 6

1. Lepida S.p.A. prende atto che possono costituire giusta causa di recesso eventuali modifiche sostanziali, da parte della CN-ER, delle finalità sottese al progetto fedERa, nonché eventuali variazioni organizzative, in merito alle modalità del trattamento dei dati e degli strumenti utilizzati, tali da determinare un profondo mutamento delle condizioni espresse nel presente Protocollo e nei suoi allegati.

2. Qualora l’Ente, dopo aver tentato di concordare una soluzione condivisa, dissenta dalle posizioni assunte dalla CN-ER in merito alle modifiche e variazioni di cui al comma precedente, potrà esercitare il diritto di recesso anticipato. Esclusivamente in tale caso, in parziale deroga a quanto previsto dalla Condizioni Generali di Fornitura (All. 2), l’Ente sarà tenuto a corrispondere a Lepida il 100% (cento per cento) dei corrispettivi relativi alle attività svolte fino al momento del recesso e nulla sarà dovuto in relazione ai corrispettivi mensili non goduti dalla data di recesso fino alla scadenza del contratto.

Xxxxx, approvato e sottoscritto

Bologna – ……………, lì …………………….

Lepida S.p.A. Comune di Calderara di Reno

Il Direttore Generale

ALLEGATI

Allegato 1 - Linee Guida Organizzative Allegato 2 - Condizioni Generali di Fornitura Allegato 3 - Allegato Tecnico

Allegato 4 - Offerta Economica

Document Metadata

Table of Contents

DELIBERAZIONE DELLA GIUNTA COMUNALE

Document Metadata