ACCORDO DI SERVIZIO PER L’UTILIZZO DELL’INFRASTRUTTURA DI AUTENTICAZIONE E ACCESSO ARPA
ACCORDO DI SERVIZIO PER L’UTILIZZO DELL’INFRASTRUTTURA DI AUTENTICAZIONE E ACCESSO ARPA
Il …. del mese di …….. dell’anno ……...
TRA
Regione Toscana (di seguito “soggetto Aggregatore”), con sede in Xxxxxx Xxxxx 00, codice fiscale / partita IVA 01386030488, codice di iscrizione all’Indice delle Pubbliche Amministrazioni e dei gestori di pubblici servizi (I.P.A.) codice ipa r_toscan AOOGRT, nella persona dell'Xxx. Xxxxxx Xxxxxxx nella sua qualità di Dirigente responsabile UFFICIO PER LA TRANSIZIONE AL DIGITALE. INFRASTRUTTURE E TECNOLOGIE PER LO SVILUPPO DELLA SOCIETA' DELL'INFORMAZIONE
E
L’Amministrazione ESTAR (di seguito “soggetto Aggregato”), Ente di supporto tecnico amministrativo regionale con sede in Xxxxxxx, Xxx xx Xxx Xxxxx, 00 Pal. 14, codice fiscale/ partita iva 06485540485, codice di iscrizione all’Indice delle Pubbliche Amministrazioni e dei gestori di pubblici servizi (I.P.A.) codice ipa: estar, nella persona della Dr.ssa Xxxxxx Xxxxx, nella sua qualità di Direttore Generale, domiciliata presso la sede del soggetto Aggregato,
PREMESSO CHE
a) l’Aggregatore Regione Toscana ha implementato infrastrutture tecnologiche abilitanti alla cittadinanza digitale mettendo a disposizione per tutte le PA del territorio i servizi infrastrutturali di accesso ai servizi attraverso il Sistema Pubblico per l'identità digitale (SPID);
b) l’Aggregatore ha realizzato una piattaforma per garantire l'accesso sicuro e unificato ai servizi online, denominata ARPA, individuata con Delibera Giunta Regionale n.226 del 22 Marzo 2016 come piattaforma di riferimento per l’autenticazione e l’accesso sicuro ai servizi digitali e come strumento per l’adesione a SPID, ottemperando a quanto previsto dall'articolo 64 Comma 2 del Decreto Legislativo n. 82/2005 e successive modifiche e integrazioni;
c) nella Delibera citata al punto b) si dà mandato affinché e tale infrastruttura venga messa a disposizione del territorio per facilitare e consentire l'adesione e l’utilizzo di SPID da parte degli enti locali e degli altri enti ed organismi territoriali;
d) Regione ha avviato una azione denominata OpenToscana che mira a fornire a cittadini, imprese e PA un punto unico innovativo di accesso ai servizi e agli asset della PA, sia per quanto riguarda la stessa Regione sia per quanto riguarda gli enti del territorio che intendono partecipare all’iniziativa, ;
e) in attuazione di quanto previsto dall’art. 64 del Decreto Legislativo n. 82/2005 e dall’art. 4 DPCM 24 ottobre 2014, il soggetto Aggregatore ha stipulato con AgID, apposita Convenzione di adesione al Sistema Pubblico dell'identità digitale di cittadini e imprese (di seguito “SPID”) in qualità di soggetto aggregatore di servizi pubblici, (Allegato A) nella quale si disciplina il rapporto fra AgID e l’Aggregatore che offre, tramite apposito servizio, a soggetti pubblici (nel seguito “Aggregati”), la possibilità di rendere accessibili tramite credenziali SPID i servizi online, individuando le attività necessarie a tale scopo ;
f) che la suddetta Convenzione è stata restituita controfirmata da Agid con protocollo AOOGRT 0075033 del 22/02/2021 ;
TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto e finalità della convenzione
1. Il presente Accordo di servizio disciplina il rapporto fra soggetto Aggregatore e il soggetto Aggregato con riguardo all’adesione al sistema SPID da parte di quest’ultimo tramite l'utilizzo dell'infrastruttura di identificazione e accesso denominata ARPA quale soluzione tecnologica per l'adeguamento dei servizi digitali a quanto previsto all'art. 64 del DLgs n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”).
Art. 2 – Obblighi del soggetto Aggregato
Il soggetto Aggregato riconosce il ruolo del soggetto Aggregatore e si obbliga a :
a) porre in essere ogni attività strumentale all’adesione al sistema SPID nel rispetto delle modalità definite da AgID in conformità ai regolamenti dalla stessa emanati;
b) rispettare quanto specificato nelle “Note tecniche sulle interfacce e sulle informazioni Idp/Sp” pubblicate sul sito AGID come previsto dall’appendice D del “Regolamento recante le modalità attuative per la realizzazione dello SPID” con riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;
c) vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel decreto Legislativo 20 Giugno 203, n196 e successive modifiche , nei regolamenti europei vigenti in materia di protezione dei dati, in particolare per quanto concerne la sicurezza degli stessi, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, l’Aggregato si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;
d) registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
e) garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’Industria del commercio ed artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo;
f) garantire la disponibilità delle funzioni, l’applicazione dei modelli architetturali secondo le disposizioni previste dal DPCM e dai Regolamenti attuativi AgID;
g) inserire gli elementi grafici identificativi dell'infrastruttura ARPA, di opentoscana , ove applicabile nella pagine informative del servizio;
h) assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’erogazione del servizio (help desk di primo livello), facendosi carico, se necessario, di richiedere supporto all'helpdesk di infrastruttura ARPA;
i) conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni inviati da AgID relativi al sistema SPID che abbiano impatto sui servizi erogati;
j) comunicare al soggetto Aggregatore, l’elenco dei servizi qualificati erogati in rete ed il rispettivo livello di sicurezza adottato. Tale elenco dovrà essere costantemente aggiornato e pubblicato sul sito istituzionale dell’Amministrazione alla URL: xxxxx://xxx.xxxxx.xxxxxxx.xx/xxxxxxxxxxxxxxx-xxxxxxxxxxx/xxxxx-xxxxxxxxx/000-xxxxxxxxxxxxx-x- catalogo-dei-dati-metadati-e-banche-dati;
k) comunicare al soggetto Aggregatore, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio;
l) comunicare al soggetto Aggregatore, una sintetica nota che fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi SPID richiesti per ciascuno dei servizi;
m) comunicare al soggetto Aggregatore, il riferimento del servizio di supporto all'utenza a cui instradare eventuali richieste di supporto specifiche che giungano al soggetto Aggregatore per ciascuno dei servizi;
n) comunicare al soggetto Aggregatore, , anche in forma aggregata, dati statistici e segnalazioni di disservizi;
o) comunicare tempestivamente xx xxxxxxx xxxx xxxxx xxxxxxxxxxxxxx xxxx [xxxx@xxxxxxx.xxxxxxx.xx
]xxx soggetto Aggregatore e via pec al referente dell’Aggregatore come sotto individuato, ogni malfunzionamento o incidente sulla sicurezza occorso sul servizio erogato, fermo restando l’obbligo di comunicare - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e ad AgID eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale, anche in conformità al Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015, riguardante “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”;
p) comunicare al soggetto Aggregatore, immediatamente ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui al presente Accordo;
q) comunicare al soggetto Aggregatore, , nell’attività di monitoraggio e controllo e, in particolare, inviare in forma aggregata, i dati richiesti da questi per conto di AgID, i quali possono essere utilizzati esclusivamente a fini statistici ed essere resi pubblici in forma aggregata. AgID, prima della pubblicazione, verifica che i dati resi pubblici siano
effettivamente anonimi nel loro complesso
Art. 3 – Obblighi del soggetto Aggregatore
1) Il soggetto Aggregatore, si impegna a:
a) svolgere il ruolo di soggetto Aggregatore nonché intermediario tecnologico delle amministrazioni e enti aggregati nei confronti di XxXX riguardo SPID;
b) mettere a disposizione le proprie infrastrutture tecnologiche al fine di rendere accessibili tramite SPID i servizi erogati dai soggetti Aggregati;
c) svolgere in nome e per conto dei soggetti Aggregati gli obblighi previsti da AgID riguardo SPID, ed in particolare a trasmettere ad AgID dati, avvisi e comunicazioni ricevuti dai soggetti Aggregati, o a trasmettere agli stessi dati, avvisi, comunicazioni o provvedimenti ricevuti da AgID, nonché a trasmettere ad AgID ed al Garante per la protezione dei dati personali – entro e non oltre le 24 ore dalla ricezione della comunicazione da parte del soggetto Aggregato – eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;
d) garantire l'operatività della infrastruttura di gestione dell’identità digitale ARPA anche attraverso gli opportuni sistemi di monitoraggio costantemente presidiati;
e) assistere gli utenti dei soggetti Aggregati nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il gestore delle identità digitali coinvolto nella transazione (assistenza tecnica);
f) vigilare sulla corretta attuazione, da parte dei soggetti Aggregati, di tutti gli obblighi previsti dagli accordi stipulati , ed in particolare sul rispetto di quanto previsto dai regolamenti europei vigenti in materia di protezione dei dati, informando l’AgID e, ove previsto, il Garante per la protezione dei dati personali, di eventuali violazioni di particolare criticità;
g) La Regione nell’ambito delle proprie attività di vigilanza e controllo dell'uso dell'infrastruttura:
a) pubblica statistiche e dati aggregati sull'uso dell'infrastruttura
b) segnala all’Ente le eventuali difformità riscontrate;
c) promuove l'adozione di criteri per rendere omogenei e congruenti sul territorio regionale l'adozione di livelli di sicurezza e l'utilizzo di attributi qualificati.
h) al fine di consentire ai soggetti Aggregati di ottemperare alla “Tracciatura e conservazione della documentazione di riscontro” di cui all’articolo 29 del regolamento recante “Le modalità attuative per la realizzazione dello SPID”, nel caso di rescissione o mancato rinnovo del presente accordo eventualmente derivante dal mancato rinnovo o rescissione della Convenzione, il soggetto aggregatore , fornisce al soggetto Aggregato gratuitamente, in formato elettronico, le informazioni necessarie per imputare alle singole identità digitali le operazioni effettuate negli ultimi ventiquattro mesi.
Art. 4 – Figure di riferimento per l’attuazione dell'Accordo di servizio
1) Sia il soggetto Aggregatore che il soggetto Aggregato nominano un proprio Referente che vigila sulla corretta applicazione del presente accordo di servizio ai quali potranno essere
veicolate eventuali comunicazioni di AGID;
2) Il soggetto Aggregatore nomina quale proprio referente Xxxxxxx Xxxxxx, in qualità di responsabile progetto ARPA, recapito PEC xxxxxxxxxxxxxx@xxxxxxxxx.xxxxxxx.xx, mentre il soggetto Aggregato nomina quale proprio referente l’Xxx. Xxxxxxxxxx Xxxxxx, recapito pec xxxxx@xxxxxxxxx.xxxxxxx.xx.
4) Le parti delegano i rispettivi “Referenti SPID” di cui al presente articolo ad eseguire e ricevere ogni comunicazione conseguente alla stipula del presente accordo di servizio e si impegnano a comunicare.
Art. 5 – Trattamento dati
L’Aggregatore si impegna a trattare i dati personali nell’ambito dell’erogazione del servizio qualificato erogato in rete nel rispetto del principio di necessità e delle altre garanzie fissate dal Codice sulla protezione dei dati personali e perle finalità previste nell’art.64 del CAD e nell’art. 2, comma 2, del DPCM,secondo le modalità fissate nei Regolamenti attuativi dell’AgID.
Ai sensi e per gli effetti della normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679, di seguito "GDPR", nonché D. Lgs. 196/2003 da ultimo novellato dal D. Lgs. 101/2018, di seguito "Codice Privacy") ed in relazione alle operazioni che vengono eseguite per lo svolgimento delle attività previste dalla presente convenzione ,il soggetto aggregato , in qualità di Titolare, nomina la Regione Toscana – Giunta Regionale, Responsabile del trattamento, ai sensi dell’articolo 28 GDPR.
I trattamenti affidati dal Titolare al Responsabile riguardano i dati personali degli utenti dei servizi on-line , come meglio descritti nelle regole tecniche dello SPID ( (articolo 4, comma 2, DPCM 24 ottobre 2014) e successivi Avvisi (si veda xxxxx://xxx.xxxx.xxx.xx/xx/xxxxxxxxxxx/xxxx regole Tecniche Tabella Attributi.
I dati personali degli utenti vengono inoltrati dagli IDP SPID per il mezzo della infrastruttura dell’aggregatore ai servizi on-line erogati dal Titolare (aggregato).
I trattamenti effettuati per conto del Titolare dal Responsabile cesseranno al completamento del contratto/convenzione ovvero in caso di sua risoluzione, per qualsiasi altro motivo.
In particolare, ai sensi dell’art. 28 GDPR,, l’aggregatore si impegna a:
• adottare e mantenere aggiornato un proprio registro dei trattamenti
• Non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare oggetto della presente convenzione
• fornire per iscritto agli autorizzati al trattamento le necessarie istruzioni in tema;
• nominare gli autorizzati che svolgono le funzioni di “amministratore di sistema”, ai sensi dei provvedimenti del Garante italiano per la protezione dei dati personali del 27/11/2008 e del 25/6/2009, conservando i relativi estremi identificativi, definendo gli ambiti di operatività ai medesimi consentiti e comunicandone al titolare l’elenco nominativo con i relativi ambiti di operatività;
• di collaborare alla eventuale redazione di DPIA su trattamenti affidati alla sua responsabilità dal Titolare;
• assistere e garantire il titolare del trattamento nell’evasione delle richieste e del rispetto dei tempi previsti, nei rapporti con l’Autorità Garante per la protezione dei dati personali
• Assistere il Titolare al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. 15 a 22 del Regolamento UE; qualora gli interessati esercitino tale diritto verso il Responsabile, quest’ultimo è tenuto ad inoltrare tempestivamente e comunque nel più breve tempo possibile, le istanze al Titolare, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei tempi prescritti
• Assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare se nominato, nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento, della tipologia di dati trattati, delle categorie e numerosità degli interessati.
• Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il soggetto aggregatore si impegna in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento UE. Tali misure comprendono tra le altre, se del caso [
a. la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali;
b. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
c. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
A tal fine si impegna ad assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare.
• il Responsabile informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile supporterà il Titolare nella misura in cui le informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile e/o di suoi sub-Responsabili;
• Sarà obbligo del Titolare del trattamento vigilare durante tutta la durata del trattamento, sul rispetto degli obblighi previsti dalle presenti istruzioni e dal Regolamento UE sulla protezione dei dati da parte del Responsabile del trattamento, nonché a supervisionare l’attività di trattamento dei dati personali effettuando audit, ispezioni e verifiche periodiche sull’attività posta in essere dal Responsabile. A tal fine il Responsabile del trattamento metterà a disposizione, su richiesta del titolare del trattamento, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dal regolamento UE, agevolando il contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato, ivi compresa, se necessario, l'attività di monitoraggio e controllo da parte del DPO e del Security IT Manager (se nominato), sulle misure di sicurezza attuate e sulla loro efficacia fornendo tutta la documentazione che sarà richiesta e collaborando attivamente alle attività di rilevazione e misura. Il“Responsabile della protezione dei dati” (DPO) di Regione Toscana è Xxx. Xxxxxxxx Xxxxxxxx . Il responsabile della sicurezza IT è Xxx. Xxxxxx Xxxxxxxxxx.
Art. 6 – Inadempimento e risoluzione dell’Accordo
1) Quando nell’attività di valutazione, controllo o vigilanza, vengano riscontrati inadempimenti del soggetto Aggregato degli obblighi assunti con il presente Accordo nonché degli gli altri
obblighi in capo ai fornitori di servizi previsti nel DPCM 24 ottobre 2014 e nei Regolamenti attuativi del sistema SPID, AgID invia – direttamente o per il tramite del soggetto Aggregatore – una contestazione, prescrivendo ove necessario le attività che devono essere poste in essere al fine del ripristino della regolarità del servizio reso agli utenti.
2) Nei casi di violazione di particolare gravità oppure nel caso di mancato adeguamento del soggetto Aggregato alle prescrizioni richieste, nel termine assegnato ha diritto di dichiarare risolta ipso jure;
3) Nel caso in cui il soggetto Aggregato cessi la propria attività di erogazione di servizi qualificati la presente convenzione è risolta ipso jure, fermi restando gli obblighi previsti all’art.2 – “Obblighi del soggetto aggregato”.
Art. 6 – Disposizioni finali
1) Il presente Accordo avrà validità ed efficacia dalla data di sottoscrizione da parte dei legali rappresentanti di tutti i soggetti, e resterà in vigore fino alla naturale scadenza della Convenzione sottoscritta tra AgID e Regione Toscana ( 5 anni dalla stipula), e si rinnoverà tacitamente al rinnovo di questa.
2) L’eventuale risoluzione della Convenzione stipulata tra AgID e Regione Toscana non determina il venir meno dell’adesione a SPID del soggetto Aggregato né la validità del presente Accordo.
3) L’Accordo sarà modificato, integrato o aggiornato in modo da garantirne la conformità alle norme vigenti ed alla Convenzione sottoscritta tra AgID e regione Toscana; in ogni caso, qualsiasi modifica del presente Accordo dovrà essere preventivamente concordata ed approvata da AgID.
per il soggetto Aggregatore Firmato digitalmente da
Xxx. Xxxxxx Xxxxxxx
per il soggetto Aggregato Firmato digitalmente da
Direttore Generale Estar
Dr.ssa Xxxxxx Xxxxx
Allegati:
Allegato 1: Convenzione per l’adesione di soggetti aggregatori di servizi pubblici al sistema pubblico per le identità digitali SPID
CONVENZIONE PER L’ADESIONE DEI SOGGETTI AGGREGATORI DI SERVIZI PUBBLICI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
(Schema approvato con Determinazione Agid N.80/2018)
Il 4 del mese di Febbraio dell’anno
2020
TRA
L’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n.97735020584, con sede in Xxxx - Xxx Xxxxx, 00 cap: 00144, in persona del Direttore Generale e legale rappresentante pro tempore
E
Regione Toscana
in qualità di soggetto aggregatore
di servizi pubblici (di seguito Aggregatore), con sede in: Firenze
Prov.(Fi
) indirizzo: X.xx Xxxxx 00
, xxx 00000
Xxx.Xxxxxxx/xxxxxxx IVA: 01386030488 , in persona del
Responsabile di Settore UFFICIO PER LA TRANSIZIONE AL DI,
(ruolo del firmatario nell'Aggregatore)
Xxx. Xxxxxx Xxxxxxx
;
(nome e cognome del firmatario)
PREMESSO CHE
1. l’articolo 64, comma 2-bis del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”);
2. l’articolo 64, comma 2-quater del CAD stabilisce che “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies […]”;
3. l’articolo 64, comma 2-sexies del CAD stabilisce che “Con decreto del Presidente del Consiglio dei ministri, [OMISSIS], sono definite le caratteristiche del sistema SPID, anche con riferimento:
a) al modello architetturale e organizzativo del sistema;
b) alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale;
c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identità digitale nei riguardi di cittadini e imprese;
d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;
e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;
f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete”.
4. nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il
D.P.C.M. 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM);
5. il DPCM stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
6. l’art.4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata a svolgere le seguenti attività:
a) gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
b) cura l’aggiornamento del Registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità.
7. l’art.13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4”;
8. l’art.14, comma 1, del DPCM stabilisce che “le pubbliche amministrazioni che erogano in rete servizi qualificati, direttamente o tramite altro fornitore di servizi, consentono l’identificazione informatica degli utenti attraverso l’uso di SPID”;
9. l’art.14, comma 2, del DPCM stabilisce che “le pubbliche amministrazioni di cui all’art. 2, comma 2, del CAD aderiscono allo SPID, secondo le modalità stabilite dall’Agenzia ai sensi dell’art. 4, […]”;
10. l'art.14, comma 5, del DPCM stabilisce che "Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati";
11. l’art.1 lettera i) del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità digitale e ne ricevono l’esito”;
12. l'art.1 lettera i) del DPCM stabilisce, inoltre, che "i fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in base al gestore dell'identità digitale che l'ha fornita";
13. con le Determinazioni AgID n.44/2015 del 28 luglio 2015 e n. 189/2016 del 22 luglio 2016, sono stati emanati i Regolamenti previsti dall'art.4, commi 2 e 3 del DPCM, concernenti:
• le modalità attuative per la realizzazione dello SPID;
• le regole tecniche;
• le modalità di accreditamento e vigilanza dei gestori di identità digitale;
• le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.
TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto e finalità della convenzione
1. La presente Convenzione disciplina il rapporto fra AgID e l’Aggregatore che offre, tramite apposito servizio, a soggetti pubblici (nel seguito “Aggregati”) la possibilità di rendere accessibili tramite credenziali SPID servizi online, individuando le attività necessarie a tale scopo.
2. Sottoscrivendo il presente atto, l’Aggregatore si impegna a rispettare la normativa vigente che disciplina lo SPID nonché le regole e i relativi aggiornamenti emanati da AgID.
Art. 2 - Obblighi dell’Aggregatore
1. L’Aggregatore, a seguito dell’iscrizione nel Registro SPID, si obbliga a:
a) formalizzare con apposito atto i rapporti con i soggetti Aggregati;
b) comunicare ad AgID l’elenco dei soggetti aggregati (denominazione, P.IVA/CF), e per ciascuno di questi un referente e i suoi contatti (telefonici, email e PEC) per eventuali comunicazioni AgID;
c) comunicare ad AgID l’elenco dei servizi qualificati erogati in rete dai soggetti Aggregati ed il rispettivo livello di sicurezza adottato;
d) comunicare ad AgID, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia
e alle funzionalità offerte dal servizio ed una sintetica nota che fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi SPID richiesti per ciascuno dei servizi;
e) porre in essere ogni attività strumentale all’adesione allo SPID nel rispetto delle modalità definite da AgID in conformità ai regolamenti dalla stessa emanati;
f) far rispettare le specifiche tecniche sulle interfacce e sulle Informazioni Idp/Sp pubblicate su sito AgID come previsto dall’appendice D del “Regolamento recante le modalità attuative per la realizzazione dello SPID” con riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;
g) comunicare tempestivamente all’indirizzo: xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione, fermo restando l’obbligo di comunicare - entro e non oltre
24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e ad AgID eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale, anche in conformità al Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015 riguardante le misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche;
h) vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n.196 e successive modifiche, nei regolamenti europei vigenti in materia di protezione dei dati, in particolare per quanto concerne la sicurezza degli stessi, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, l’Aggregatore si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;
i) registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
j) garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’Industria del commercio ed artigianato 30 novembre 1993,
n. 591, con una differenza non superiore ad un minuto primo;
k) garantire la disponibilità delle funzioni, l'applicazione dei modelli architetturali secondo le disposizioni previste dal DPCM e dai Regolamenti attuativi AgID;
l) assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di indirizzare l’utente verso il gestore delle identità digitali coinvolto nella transazione (assistenza tecnica);
m) conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni inviati da AgID relativi al sistema SPID;
n) comunicare ad AgID le informazioni tecniche richieste da AgID per consentire la fruizione dei servizi;
o) a dare immediata comunicazione ad AgID dell’eventuale volontà di cessare l’attività oggetto della presente Convenzione concordando con AgID tempi e modalità.
2. L’Aggregatore si impegna a collaborare con AgID nell’attività di monitoraggio e controllo e, in particolare, si obbliga:
a) ad inviare ad AgID, in forma aggregata, i dati richiesti da questa che possono esser utilizzati esclusivamente a fini statistici, che possono essere resi pubblici in forma aggregata. AgID, prima della pubblicazione, verifica che i dati resi pubblici siano effettivamente anonimi nel loro complesso;
b) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sulla corretta esecuzione delle attività di cui alla presente Convenzione.
3. L’Aggregatore, inoltre, si impegna a:
a) operare come intermediario tecnologico tra AgID e i soggetti Aggregati;
b) vigilare sulla corretta attuazione, da parte degli Aggregati, di tutti gli obblighi previsti dagli accordi stipulati tra l’Aggregatore e gli stessi, ed in particolare sul rispetto di quanto previsto dal Decreto Legislativo 30 giugno 2003, n. 196 e ss.mm.ii., e regolamenti europei vigenti in materia di protezione dei dati, informando l’AgID di eventuali violazioni di particolare criticità;
c) inoltrare senza ritardo ad AgID, anche in forma aggregata, dati statistici e segnalazioni di disservizi ricevuti dai soggetti Aggregati.
4. Al fine di consentire al soggetto Aggregato di ottemperare alla “Tracciatura e conservazione della documentazione di riscontro” di cui all’articolo 29 del regolamento recante “Le modalità attuative per la realizzazione dello SPID”, nel caso di rescissione o mancato rinnovo dell’accordo di cui al comma 1 lettera
a) del presente articolo, eventualmente derivante dal mancato rinnovo o rescissione della presente Convenzione, l’Aggregatore fornisce al soggetto Aggregato gratuitamente, in formato elettronico, le informazioni necessarie per imputare alle singole identità digitali le operazioni effettuate negli ultimi ventiquattro mesi.
Art. 3 – Compiti dell’Agenzia per l’Italia Digitale
1. L'AgID cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti attività:
a) gestire l'accreditamento dei gestori dell'identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite Convenzioni;
b) stipulare Convenzioni con le pubbliche amministrazioni ed i privati in qualità di fornitori di servizi qualificati erogati in rete;
c) curare l'aggiornamento del registro SPID e vigilare sull'operato dei soggetti
che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell'identità digitale, i dati identificativi dell'utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
d) stipulare apposite Convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
e) disporre l'iscrizione dell’Aggregatore nell’apposito Registro di cui all’art.1, comma 1, lett. s) del DPCM entro il termine di dieci giorni dalla stipula della presente Convenzione.
2. L’AgID, nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche e dati aggregati sullo SPID;
b) riceve da tutti i soggetti di cui all’art. 3, comma 1, del DPCM le segnalazioni di malfunzionamenti o incidenti di sicurezza;
c) trasmette ai soggetti di cui all’art. 3, comma 1, del DPCM ogni informazione rilevante per la propria attività;
d) valuta l’applicazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
e) segnala agli Aggregatori, ed eventualmente anche ai soggetti Aggregati, le eventuali difformità riscontrate;
f) promuove l'adozione di criteri per rendere omogenei e congruenti a livello nazionale l’uso dei livelli di credenziali;
g) rende pubblici annualmente i risultati del proprio lavoro.
Art. 4 – Trattamento dei dati
1. L’Aggregatore si impegna a trattare i dati personali nell’ambito dell’erogazione del servizio qualificato erogato in rete nel rispetto del principio di necessità e delle altre garanzie fissate dal Codice sulla protezione dei dati personali e per le finalità previste nell’art.64 del CAD e nell’art. 2, comma 2, del DPCM, secondo le modalità fissate nei Regolamenti attuativi dell’AgID.
Art. 5 – Servizio svolto dal soggetto Aggregato
1. Nel caso in cui l’Aggregatore limiti il proprio servizio alla sola attività di autenticazione, lasciando quindi l’esercizio del servizio al soggetto Aggregato, l’Aggregatore provvede ad ottenere e conservare dal soggetto Aggregato:
a) l’impegno di cui al precedente articolo 4 comma 1, sottoscritto dall’Aggregato;
b) l’impegno ad adeguarsi agli obblighi previsti in capo ai fornitori di servizi SPID previsti dalla normativa e dai Regolamenti vigenti in materia, compresi gli obblighi previsti dallo “Schema di Convenzione tra l’Agenzia per l’Italia Digitale e le pubbliche amministrazioni in qualità di fornitori di servizi” emanato da AgID con Determinazione n. 14/2018 e successive modificazioni.
Art. 6 – Durata, modifiche e integrazioni
1. La presente Convenzione ha durata quinquennale, a decorrere dalla sua sottoscrizione da parte dell’AgID, ed è oggetto di rinnovo tacito, salva indicazione contraria delle parti da comunicare almeno sessanta giorni prima della scadenza alla controparte e ai soggetti Aggregati (a questi ultimi a cura del soggetto Aggregatore).
2. Modifiche e/o integrazioni alla presente Convenzione saranno possibili in presenza di accordo delle parti oltre che nei casi in cui sia necessario a seguito del mutamento della normativa e dei Regolamenti adottati da AgID.
3. Nel caso in cui AgID ritenga necessario adeguare la Convenzione, i soggetti Aggregatori possono esercitare il diritto di recesso entro quindici giorni dalla comunicazione da parte di AgID, informando i soggetti Aggregati entro detto termine. In tal caso l’Aggregatore continua a fornire i servizi oggetto della Convenzione ai soggetti Aggregati per novanta giorni decorrenti dal termine previsto per esercitare il diritto di recesso.
4. Gli accordi stipulati tra Aggregatore e i soggetti Aggregati hanno durata non superiore alla scadenza naturale della presente Convenzione sottoscritta con AgID e possono prevedere il tacito rinnovo al rinnovo della stessa; tali accordi potranno essere modificati, integrati o aggiornati in modo da garantirne la conformità alle norme vigenti ed alla presente Convenzione in caso di modifica, integrazione o sostituzione della stessa.
Art. 7 – Figure di riferimento per l’attuazione della convenzione
1. Sia l’AgID che l’Aggregatore nominano propri referenti che vigilano sulla corretta applicazione della presente Convenzione;
2. AgID pubblica sul proprio sito istituzionale, nell’apposita sezione SPID, il nome del proprio Referente e il relativo indirizzo di Posta Elettronica Certificata (PEC); l’Aggregatore nomina quale proprio
Referente: Dott.ssa Xxxxxx Xxxxxxx ,
recapito PEC: xxxxxxxxxxxxxx@xxxxxxxxx.xxxxxxx.xx ,
recapito telefonico: 055 4383246- 3297977406 ;
3. Le parti si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei referenti.
Art. 8 – Inadempimento e risoluzione della Convenzione
1. Nel caso in cui nel corso dell’attività di valutazione, controllo o vigilanza, sono riscontrati inadempimenti dell’Aggregatore degli obblighi assunti con la presente Convenzione nonché degli altri obblighi previsti nel DPCM e nei Regolamenti attuativi del sistema SPID, AgID invia una contestazione, prescrivendo, ove necessario, le attività che devono essere poste in essere (e i relativi tempi) al fine del ripristino della regolarità del servizio;
2. Nei casi di violazione di particolare gravità oppure nel caso di mancato adeguamento di quanto contestato ai sensi del precedente comma 1, AgID ha diritto di dichiarare risolta ipso jure la presente Convenzione nei tempi che
riterrà opportuni.
3. Nel caso in cui l’Aggregatore cessi l’attività, la presente Convenzione è risolta
ipso jure.
4. Quanto previsto ai precedenti commi 1 e 2 è applicabile anche ai soggetti Aggregati, nei confronti dei quali XxXX può agire ai sensi del presente articolo, anche con i provvedimenti prescrittivi, sanzionatori o risolutori, direttamente o per il tramite dell’Aggregatore. Quanto prescritto nel presente comma deve essere oggetto di accettazione nell’accordo di cui all’art. 2, comma 1, lettera a).
Art. 9 – Disposizioni finali
1. La presente convenzione produce i suoi effetti a decorrere dalla data di sottoscrizione da parte del legale rappresentante p.t. dell’Agenzia per l’Italia Digitale.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
per il soggetto Aggregatore per l’AgID
Firmato digitalmente da Firmato digitalmente da
Xxx. Xxxxxx Xxxxxxx
Direttore Generale XxXX
XXXXXXX XXXXXX REGIONE TOSCANA 08.02
.2021
15:16:44
UTC
Per delega del Direttore Generale Xxxxxxx Xxxxx