CONVENZIONE PER L’ADESIONE DEI FORNITORI DI SERVIZI PRIVATI, INDIVIDUALI O AGGREGATORI DI FORNITORI DI SERVIZI, AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI - SPID
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
CONVENZIONE PER L’ADESIONE DEI FORNITORI DI SERVIZI PRIVATI, INDIVIDUALI O AGGREGATORI DI FORNITORI DI SERVIZI, AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI - SPID
TRA
L’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n. 97735020584, in persona del Direttore Generale e legale rappresentante pro tempore, con sede in Roma, Via Xxxxx 21,
E
La Società , in qualità di Fornitore individuale di
servizi privati, con sede in prov. ( ), indirizzo
c.a.p.: , codice fiscale / partita IVA: , nella persona del
,
OPPURE
La Società in qualità di Aggregatore di
Fornitori di servizi privati, con sede in prov. ( ), indirizzo
c.a.p.: , codice fiscale / partita IVA: , nella persona del
,
PREMESSO CHE
a) l’articolo 64, comma 2-bis, del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese” (di seguito “SPID”) utilizzabile da persone fisiche e giuridiche, come chiarito dall’art. 61, comma 2, lettera d) del D.Lgs. 179/2016 (di seguito “Utenti”);
b) ai sensi dell’articolo 64, comma 3-ter, del CAD “il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accredita mento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro il compimento di attività e l’accesso ai servizi in rete”. I soggetti accreditati sono iscritti in apposito elenco pubblico (“Registro pubblico”) tenuto da AgID ai sensi dell’articolo 64, comma 2-undecies del CAD. Sui soggetti pubblici e privati che partecipano a SPID a norma dell’articolo 64 del CAD, si applicano le funzioni di vigilanza di cui all’articolo 14-bis, comma 2, lettera i) del CAD;
c) nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il D.P.C.M.
24 ottobre 2014, adottato a norma dell’art. 64, comma 2-sexies del CAD, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM), come modificato dal DPCM 19 ottobre 2021, pubblicato nella Gazzetta Ufficilae n. 296 del 14 dicembre 2021;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
d) il DPCM stabilisce le caratteristiche dello SPID, consentendo agli Utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
e) il sistema SPID è stato notificato ai sensi dell’articolo 9 del Regolamento (UE) n. 910/2014 (“Regolamento eIDAS”) ed è stato pubblicato come regime di identificazione elettronica nella Gazzetta Ufficiale dell’Unione Europea C318 del 10 settembre 2018. A seguito della notifica, l’identità digitale SPID può essere usata per l’accesso ai servizi in rete delle pubbliche amministrazioni dell’Unione Europea. Ai soggetti che rilasciano l’identità digitale SPID si applicano gli obblighi e le responsabilità rispettivamente indicati al Capo II del Regolamento eIDAS con riferimento alla parte che rilascia i mezzi di identificazione elettronica;
f) in data 25 maggio 2018 è entrato in applicazione il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito “GDPR”);
g) l’art. 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fineè chiamata svolgere le seguenti attività:
- gestire l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
- curare l’aggiornamento del Registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’Utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
- stipulare apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità; a tali convenzioni i gestori dell’identità digitale sono tenuti ad aderire secondo le modalità indicate nei regolamenti adottati dall’AgID ai sensi del medesimo articolo 4;
h) l’art. 13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4”;
i) l’art. 15, comma 1, del DPCM stabilisce che “Non possono aderire allo SPID i soggetti privati fornitori di servizi il cui rappresentante legale, soggetto preposto all’amministrazione o componente di organo preposto al controllo, risulta condannato con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici”;
j) l’art. 15, comma 2, del DPCM stabilisce che “Ai sensi dell’articolo 64, comma 2- quinquies, del CAD i soggetti privati che aderiscono allo SPID per la verifica dell’accesso ai servizi erogati in rete, nel rispetto del presente decreto e dei regolamenti attuativi adottati dall’Agenzia ai sensi
dell’articolo 4, soddisfano gli obblighi di cui all’articolo 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la comunicazione del codice identificativo dell’identità digitale utilizzata dall’utente”;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
k) l’art. 15, comma 3, del DPCM stabilisce che “Nella convenzione che i fornitori di servizi privati stipulano con l’Agenzia, nell’ambito dei regolamenti attuativi di cui all’articolo 4, possono essere regolati i corrispettivi dovuti dai fornitori di servizi ai gestori dell’identità digitale e ai gestori degli attributi qualificati per i servizi di verifica”;
l) l’art. 1, lettera l), del DPCM definisce i gestori dell’identità digitale come “le persone giuridiche accreditate allo SPID che, previa identificazione certa dell’Utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo Utente al fine della sua identificazione informatica. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi necessari a gestire l’attribuzione dell’identità digitale degli Utenti, la distribuzione e l’interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l’autenticazione informatica degli Utenti”;
m) l’art. 1 lettera i), del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli Utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’Utente ai gestori dell’identità e nericevono l’esito”;
n) l’art. 1, lettera i), del DPCM stabilisce, inoltre, che “i fornitori di servizi, nell’accettare l’identità digitale, non discriminano gli Utenti in base al gestore dell’identità digitale che l’ha fornita”;
o) con la Determinazione AgID n. 44 del 28 luglio 2015 e sono stati emanati i seguenti Regolamenti previsti dall’art. 4, commi 2, 3 e 4 del DPCM, successivamente integrati e modificati con Determinazioni n. 189 del 22 luglio 2016 e n. 425 del 1 ottobre 2020, ai quali la presente Convenzionefa espresso riferimento:
- il Regolamento recante le modalità attuative per la realizzazione dello SPID;
- il Regolamento recante le regole tecniche;
- il Regolamento recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale;
- il Regolamento recante le procedure per consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
p) Agid ha emanato regole tecniche e linee guida ai sensi dell'art. 71 del CAD, circolari, avvisi e direttive relative ai protocolli che i Gestori dell'Identità digitale e i Fornitori di servizi devono adottare;
q) con Determinazione n. ............... del ..................., adottata ai sensi del richiamato art. 4, di modifica e aggiornamento della Determinazione n. 166/2019, l’AgID ha approvato il nuovo schema di Convenzione, e relativi allegati, per l’adesione dei Fornitori di servizi privati, individuali o Aggregatori, allo SPID; detto schema di Convenzione è soggetto a revisione e modifiche, con le procedure appositamente previste dalla stessa, in relazione all’evoluzione tecnica e normativa dello SPID;
r) la presente Convenzione, con i relativi allegati, è conforme al suddetto schema; la sua sottoscrizione impegna il Fornitore di Servizi privati, individuale o Aggregatore, a rispettare la normativa vigente che disciplina lo SPID nonché le regole, le procedure e i relativi aggiornamenti
emanati da XxXX, oltre che nei rapporti con le Pubbliche Amministrazioni anche nei rapporti con i privati fornitori e/o aggregatori di servizi e gestori degli attributi qualificati aderenti allo SPID (di seguito “Soggetti aderenti allo SPID”);
TUTTO CIÒ PREMESSO
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto della Convenzione, Allegati e Iscrizione nel Registro SPID
1. La presente Convenzione disciplina il rapporto fra AgID e la società
in qualità di Fornitore di servizi privati, individuale o Aggregatore di fornitori di servizi (di seguito, anche “Fornitore/i di Servizi”), erogati in rete nell’ambito del Sistema pubblico per la gestione delle identità digitali (SPID) per l’espletamento da parte del Fornitore di Servizi stesso di tutte le attività necessarie per l’adesione a SPID e l’utilizzo di SPID (di seguito e negli allegati: “Convenzione”). I soggetti Aggregatori:
a) sono pubbliche amministrazioni o privati che offrono a terzi (soggetti aggregati) la possibilità di rendere accessibili tramite lo SPID i rispettivi servizi;
b) si distinguono in aggregatori di Fornitori di servizi pubblici e aggregatori di fornitori di servizi privati e possono svolgere per il soggetto aggregato la sola funzione di autenticazione con SPID;
c) agevolano l’ingresso nella federazione SPID dei fornitori di servizi che non ritengono conveniente attivare presso di loro la struttura necessaria per esporre i propri servizi in rete tramite l’autenticazione con lo SPID.
2. Sottoscrivendo la presente Convenzione, il Fornitore di Servizi si impegna a rispettare la normativa vigente che disciplina lo SPID nonché le regole e i relativi aggiornamenti emanati da AgID.
3. Entro il termine di dieci giorni dalla stipula della presente Convenzione, XxXX dispone l’iscrizione del Fornitore di Servizi nell’apposito registro di cui all’art.1, comma 1, lett. s), del DPCM.
4. L’utilizzo di SPID da parte dei Fornitori di Servizi si informa al Disciplinare di cui all’allegato n. 2, parte integrante e sostanziale della presente Convenzione, relativo ai rapporti con i Gestori delle Identità digitali (di seguito “Gestori”), attraverso il quale è regolamentato l’utilizzo dei servizi di identificazione e autenticazione degli Utenti.
5. Alla presente Convenzione vengono inoltre allegati, quali parti integranti e sostanziali della stessa, un addendum esplicativo e integrativo (di seguito “Addendum”, all. 1), il documento recante gli indicatori di qualità e i livelli di servizio (all. 3), nonché il tariffario dei servizi resi dai Gestori ai Fornitori di Servizi (all. 4).
Art. 2 - Obblighi del Fornitore di Servizi
1. Il Fornitore di Servizi, ai fini dell’iscrizione nel Registro SPID, si obbliga:
a) a comunicare ad AgID e mantenere aggiornato l’elenco dei servizi qualificati erogati in rete e le informazioni tecniche richieste da AgID per consentire la fruizione degli stessi previa autenticazione SPID;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
b) a comunicare ad AgID, per ciascuno dei servizi compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio, nel rispetto dei principi di cui all’art. 5 del GDPR e in ottica di protezione dei dati sin dalla progettazione e per impostazione predefinita ai sensi dell’art. 25 del GDPR;
c) ad adottare il livello di sicurezza necessario per consentire l’accesso ai propri servizi mediante autenticazione SPID;
d) a inviare ad AgID una sintetica nota che, ai sensi di quanto previsto dall’art.6, comma 5, del DPCM e dall’art.3, comma 1, lett. b), del Regolamento AgID sulle modalità attuative, fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi (identificativi, non identificativi e qualificati) richiestiper ciascuno dei servizi erogati e individuati anche ai sensi dell’art. 32 del GDPR;
e) a conservare per ventiquattro mesi le informazioni necessarie a imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi tramite SPID;
f) a porre in essere ogni attività strumentale all’adesione allo SPID e connessa al corretto accesso al Registro, nel rispetto delle modalità definite da AgID in conformità al Regolamento recante le regole tecniche;
g) a rispettare quanto specificato nel Regolamento sulle modalità attuative e relativi rimandi con riferimento all’uso degli elementi grafici identificativi dello SPID;
h) a rispettare le specifiche tecniche sulle interfacce e sulle informazioni IdP/SP pubblicate su sito AgID come previsto dall’appendice D del “Regolamento recante le modalità attuative per la realizzazione dello SPID” con riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;
i) a comunicare tempestivamente all’indirizzo P.E.C. di AgID xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione, provvedendo altresì alla notifica al Garante per la protezione dei dati personali e, se del caso, alla comunicazione agli interessati in caso di violazione di dati personali ai sensi degli artt. 33 e 34 del GDPR;
j) a informare immediatamente, nel caso in cui rilevi un uso anomalo di un’identità digitale, sia l’AgID sia il Gestore dell’identità digitale che l’ha rilasciata;
k) a osservare scrupolosamente la vigente normativa unionale e nazionale in materia di protezione dei dati personali e i provvedimenti del Garante per la protezione dei dati personali, con particolare riferimento ai sopra richiamati principi di cui all’art. 5 del GDPR, alla liceità del trattamento ai sensi dell’art. 6 del GDPR, alla corretta ed esaustiva informazione degli interessati sul trattamento dei loro dati personali ai sensi degli artt. 12-14 del GDPR, al rispetto
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
dei diritti dell’interessato di cui agli artt. 15-23 del GDPR, alla protezione dei dati sin dalla progettazione e per impostazione predefinita ai sensi dell’art. 25 del GDPR, alla corretta formalizzazione del ruolo dei propri responsabili del trattamento dei dati personali ai sensi degli artt. 4, par. 1, n. 8 e 28 del GDPR, alla formazione, istruzione ed eventuale designazione del proprio personale ai sensi degli artt. 29 del GDPR e 2-quaterdecies del Decreto legislativo 30 giugno 2003 e s.m.i., alla tenuta del registro delle attività di trattamento ai sensi dell’art. 30 del GDPR, alla sicurezza del trattamento ai sensi dell’art. 32 del GDPR, alle attività necessarie in caso di violazione dei dati personali ai sensi degli artt. 33- 34 del GDPR, all’effettuazione della valutazione d’impatto sulla protezione dei dati personali e all’eventuale preventiva consultazione con il Garante per la protezione dei dati personali ai sensi degli artt. 35 -36 del GDPR, alla designazione del responsabile della protezione dei dati personali ai sensi e per gli effetti di cui agli artt. 37-39 del GDPR e al suo reale coinvolgimento nella protezione dei dati personali oggetto di trattamento con riferimento ai servizi qualificati erogati in rete e fruibili mediante SPID;
l) qualora operi quale Fornitore di Servizi individuale, a operare quale titolare autonomo del trattamento dei dati personali nell’autenticazione dell’Utente volta alla fruizione dei propri servizi erogati mediante SPID;
m) a conservare gli attributi ricevuti dal Gestore nelle sessioni di autenticazione esclusivamente per la finalità di prestazione del servizio per cui l’accesso è stato effettuato, in conformità al DPCM 24 ottobre 2014, ai Regolamenti attuativi del sistema SPID e alla normativa in materia di protezione dei dati personali;
n) a registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
o) a garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al Decreto del Ministro dell’Industria, del Commercio e dell’Artigianato 30 novembre 1993 n. 591, con una differenza non superiore ad un minuto primo;
p) a garantire la disponibilità delle funzioni e l’applicazione dei modelli architetturali secondo le disposizioni richiamate in premessa e previste dal DPCM, dai Regolamenti attuativi AgID, dalle Linee Guida, nonché nel rispetto degli “Avvisi” pubblicati sul portale istituzionale dell’Agenzia ai fini dell’interpretazione uniforme delle procedure e delle regole oggetto dei predetti Regolamenti;
q) ad assistere l’Utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il Gestore delle identità digitali coinvolto nella transazione (assistenza tecnica). Il Fornitore di Servizi è responsabile della presa in carico della issue (fase – accoglienza), quindi della Verifica Incident e gestione della richiesta di assistenza. In particolare il Fornitore di Servizi interviene in caso di errore relativo ad accesso e fruizionedel servizio, crash del sistema e procedura di autenticazione, network. L’attività di assistenza del Fornitore di Servizi è in parte indirizzata dai Gestori, i quali forniscono una tabella descrittiva
degli errori e annesse soluzioni, uno strumento di supporto FAQ online e un manuale Utente;
r) a svolgere attività di informazione e comunicazione nei confronti dell’Utente in coerenza con i tempi e i contenuti della comunicazione definiti da AgID;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
s) a conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni pubblicati da AgID relativi al sistema SPID;
t) a comunicare ad XxXX le informazioni tecniche richieste da AgID per consentire la fruizione dei servizi;
u) a dare immediata comunicazione ad AgID dell’eventuale volontà di cessare l’attività oggetto della presente Convenzione concordando con AgID tempi e modalità.
2. Ferme restando le disposizioni sopra citate che non siano in contrasto con quanto di seguito esposto, il Fornitore di Servizi che operi quale Xxxxxxxxxxx si impegna:
a) a operare come intermediario tecnologico tra AgID e i soggetti Aggregati;
b) a formalizzare con apposito atto, anche ai fini della protezione dei dati personali, i propri rapporti con i soggetti Aggregati, effettuando le verifiche previste dall’art. 15, comma 1, del DPCM, nel rispetto di quanto previsto al successivo art. 9, comma 2 con riferimento al trattamento di dati relativi a condanne penali e reati;
c) a trattare i dati personali in qualità di responsabile del trattamento per conto dei Fornitori di Servizi aggregati, ai sensi degli artt. 4, par. 1, n. 8) e 28 del GDPR;
d) a vigilare sulla corretta attuazione, da parte degli Aggregati, di tutti gli obblighi previsti dagli accordi stipulati tra l’Aggregatore e gli stessi, informando l’AgID di eventuali violazioni di particolare criticità;
e) a comunicare ad AgID l’elenco dei soggetti aggregati (denominazione, P.IVA/CF), e per ciascuno di questi i suoi contatti (telefonici, e-mail e PEC) per eventuali comunicazioni di AgID;
f) a comunicare ad AgID l’elenco dei servizi qualificati erogati in rete dai soggetti Aggregati e il rispettivo livello di sicurezza adottato;
g) a comunicare ad AgID, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio, nel rispetto dei principi di cui all’art. 5 del GDPR e in ottica di protezione dei dati sin dalla progettazione e per impostazione predefinita ai sensi dell’art. 25 del GDPR, nonché una sintetica nota che fornisca una motivazione in merito ai livelli di sicurezza adottati anche ai sensi dell’art. 32 del GDPR e agli attributi SPID richiesti per ciascuno dei servizi;
h) a porre in essere ogni attività strumentale all’adesione allo SPID nel rispetto delle modalità definite da AgID in conformità ai regolamenti dalla stessa emanati;
i) a rispettare le specifiche tecniche sulle interfacce e sulle informazioni IdP/SP pubblicate su sito AgID come previsto dall’appendice D del “Regolamento
recante le modalità attuative per la realizzazione dello SPID” con riferimento all’accesso ai servizi qualificati erogati in rete e all’uso degli elementi grafici identificativi dello SPID;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
j) a comunicare tempestivamente ad AgID all’indirizzo xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione, fermo restando l’obbligo di comunicare al Garante per la protezione dei dati personali, in conformità alla normativa sul trattamento dei dati personali, e ad AgID eventuali violazioni dei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;
k) a inoltrare ad AgID dati aggregati per finalità statistiche e, senza ritardo, segnalazioni di disservizi ricevuti dai soggetti Aggregati.;
3. Al fine di consentire al soggetto Aggregato di ottemperare alla “Tracciatura e conservazione della documentazione di riscontro” di cui all’articolo 29 del regolamento recante “Le modalità attuative per la realizzazione dello SPID”, nel caso di rescissione o mancato rinnovo dell’accordo di cui al comma 2, lettera b), del presente articolo, eventualmente derivante dal mancato rinnovo o rescissione della presente Convenzione, l’Aggregatore fornisce al soggetto Aggregato gratuitamente, in formato elettronico, le informazioni necessarie per imputare alle singole identità digitali le operazioni effettuate negli ultimi ventiquattro mesi.
4. Il Fornitore di Servizi, individuale o Aggregatore, inoltre, s’impegna a collaborare con AgID nell’attività di monitoraggio e controllo e, in particolare, si obbliga:
a) a comunicare al Garante per la protezione dei dati personali e ad AgID - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – eventuali violazioni ed intrusioni nedi dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;
b) ad inviare ad AgID, in forma aggregata, i dati da questa richiesti a fini statistici, che possono essere resi pubblici in forma aggregata; AgID, prima della pubblicazione, verifica che i dati resi pubblici siano effettivamente anonimi nel loro complesso, individuando la presenza di eventuali outlier statistici generati durante le fasi di analisi;
c) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui alla presente Convenzione.
Art. 3 – Condizioni economiche per il Fornitore di Servizi
1. Il Fornitore di Servizi si impegna a riconoscere ai Gestori un corrispettivo per l’erogazione dei servizi di identificazione e autenticazione degli Utenti ai propri servizi online, come regolato dal Disciplinare (all. 2) e dall’allegato 4 alla presente Convenzione, concernenti, tra l’altro, il rapporto con i Gestori anche con riguardo agli aspetti economici, ai corrispettivi del servizio, al periodo di adesione minima al servizio ed al ciclo di fatturazione, alle modalità di tariffazione, ai tempi e alle modalità per l’aggiornamento dei prezzi.
2. Se Aggregatore, con riferimento all’Allegato 4, il concetto di “Utente unico” è riferibile al singolo Aggregato; pertanto, all’interno di ciascun periodo di
fatturazione, gli accessi effettuati da un utente unico sono fatturati dal singolo Gestore una sola volta per ogni Aggregato che ha usufruito del servizio, indipendentemente dalla numerosità degli accessi.
Art. 4 – Informazioni e rapporti con l’Utente
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
1. Il Fornitore di Servizi assicura agli Utenti la piena informazione sulle modalità di prestazione dei servizi erogati; in particolare:
a) rende noto agli Utenti, tramite appositi avvisi e materiale informativo chiaro e facilmente leggibile, le condizioni economiche e tecniche per l’erogazione dei servizi e le dovute informazioni sul rattamento dei dati personali, ai sensi degli artt. 12-14 del GDPR;
b) fornisce adeguata informazione agli Utenti in merito a ogni eventuale variazione delle modalità di erogazione del servizio;
c) cura la pubblicazione di testi riportanti gli atti che disciplinano l’erogazione dei servizi e che regolano i rapporti con gli Utenti. Le modificazioni che si renderanno successivamente necessarie saranno inserite nei testi esistenti e saranno adeguatamente divulgate;
d) predispone appositi strumenti di informazione, tramite l’attivazione di linee di comunicazione telefoniche e telematiche, di cui verifica periodicamente il buon funzionamento, anche con riferimento alla protezione dei dati personali.
2. Con specifico riferimento all’art. 13, comma 4, del DPCM 24 ottobre 2014, informa gli Utenti con modalità semplici e chiare che l’identità digitale e gli eventuali attributi identificativi forniti ai fini dell’accesso ai servizi sono verificati, rispettivamente, presso i Gestori dell’identità digitale e i gestori degli attributi qualificati, dando evidenza, altresì, di quali attributi identificativi, anche qualificati, siano necessari per accedere al servizio.
Art. 5 – Compiti dell’Agenzia per l’Italia Digitale
1. AgID cura l’attivazione dello SPID, svolgendo, in particolare, le seguenti attività:
a) gestisce l’accreditamento dei Gestori dell’identità digitale e dei Gestori di attributi qualificati nonché l’adesione delle Pubbliche Amministrazioni e dei privati in qualità di Fornitori di Servizi, stipulando con essi apposite convenzioni;
b) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
c) cura l’aggiornamento del registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, nei casi previsti dal DPCM 24 ottobre 2014 e tramite il gestore dell’identità digitale, i dati identificativi dell’Utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
d) dispone l’iscrizione dell’Aggregatore nell’apposito Registro di cui all’art. 1, comma 1, lett. s) del DPCM entro il termine di dieci giorni dalla stipula della presente Convenzione.
2. AgID, nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche sui dati aggregati relativi allo SPID;
b) riceve da tutti i soggetti di cui all’art. 3, comma 1, del DPCM le segnalazioni di malfunzionamenti, ivi compresi i disservizi o incidenti di sicurezza, relativi all’utilizzo delle identità digitali;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
c) trasmette ai soggetti di cui all’art. 3, comma 1, del DPCM ogni informazione rilevante per la loro attività;
d) effettua controlli presso le sedi amministrative ed operative dei soggetti pubblici e privati accreditati ed iscritti al registro dei Gestori SPID;
e) richiede ai Fornitori di Servizi atti e documenti, convoca riunioni con gli amministratori e i dirigenti degli stessi;
f) valuta l’applicazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
g) valuta l’attuazione degli standard di qualità del servizio adottati e indica, se del caso, le correzioni da apportare;
h) segnala al Fornitore di Servizi le eventuali difformità riscontrate;
i) valuta l’adeguatezza delle procedure di reclamo e delle misure di ristoro attuate nel caso di pregiudizio arrecato all’Utente;
j) emana, attraverso il Tavolo SPID sulla Comunicazione, le linee guida concernenti la promozione, adozione e diffusione del sistema SPID;
k) promuove l’adozione delle misure dirette alla semplificazione del rapporto tra il Fornitore di Servizi e gli Utenti;
l) acquisisce dati e informazioni aggregati e anonimi sul gradimento degli Utenti;
m) rende pubblici annualmente i risultati del proprio lavoro.
Art. 6 – Vigilanza
1. Con l’adesione al sistema SPID per la prestazione dei propri servizi, il Fornitore di Servizi si sottopone all’attività di vigilanza di AgID, che esercita i propri poteri di vigilanza e sanzionatori in conformità con quanto previsto dagli artt. 14-bis, comma 2, lettera i) e 32-bis del CAD, dal DPCM e dal relativo Regolamento di Vigilanza, dalla normativa comunque applicabile, nonché dalla presente Convenzione.
2. Le modalità per la vigilanza e per l’esercizio del potere sanzionatorio sono indicate nel suddetto Regolamento, pubblicato sul sito web istituzionale dell’AgID. Detto Regolamento disciplina le modalità di esecuzione dei procedimenti di verifica correlati all’attività di vigilanza e di irrogazione delle sanzioni nei confronti dei soggetti vigilati.
3. Nell’ambito dell’attività di vigilanza, AgID esegue verifiche documentali e/o attività ispettive con propri incaricati, con l’eventuale collaborazione di soggetti terzi o di Autorità dalla stessa incaricata. Il Fornitore di Servizi si impegna a trasmettere i dati e documenti richiesti, a consentire l’accesso ai propri locali a tali soggetti e a fornire agli stessi tutto il supporto necessario per l’esecuzione delle attività di verifica.
4. Nel caso in cui l’Aggregatore limiti il proprio servizio alla sola attività di autenticazione, lasciando quindi l’esercizio del servizio al soggetto Aggregato, l’Aggregatore provvede ad ottenere e conservare dal soggetto Aggregato, l’impegno ad adeguarsi agli obblighi previsti in capo all’Aggregato dalla presente Convenzione.
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
Art. 7 – Durata, rinnovo, modifiche e integrazioni
1. La presente Convenzione ha durata quinquennale a decorrere dal suo perfezionamento e si rinnova tacitamente per un periodo di pari durata, salvo espressa disdetta formalizzata a mezzo PEC dal Fornitore di Servizi o dall’AgID entro i tre mesi antecedenti alla scadenza.
2. La presente Convenzione è unica per tutti i Fornitori di Servizi. Modifiche e/o integrazioni saranno possibili una volta che sia stato acquisito, ove ne ricorrano i presupposti e ritenuto necessario da XxXX, il parere del Garante per la protezione dei dati personali ed eventualmente di altre Autorità competenti, in presenza di accordo delle parti oltre che in tutti i casi in cui sia necessario adeguarne il contenuto al mutamento della normativa e dei Regolamenti adottati da AgID.
3. Nel caso in cui AgID ritenga necessario adeguare la Convenzione, i soggetti Aggregatori possono esercitare il diritto di recesso entro quindici giorni dalla comunicazione da parte di AgID, informando i soggetti Aggregati entro detto termine. In tal caso l’Aggregatore continua a fornire i servizi oggetto della Convenzione ai soggetti Aggregati per novanta giorni decorrenti dal termine previsto per esercitare il diritto di recesso.
4. Gli accordi stipulati tra Aggregatore e i soggetti Aggregati hanno durata non superiore alla scadenza naturale della presente Convenzione sottoscritta con AgID e possono prevedere il tacito rinnovo al rinnovo della stessa; tali accordi potranno essere modificati, integrati o aggiornati in modo da garantirne la conformità alle norme vigenti ed alla presente Convenzione in caso di modifica, integrazione o sostituzione della stessa.
Art. 8 – Figure di riferimento per l’attuazione della Convenzione
1. Sia l’AgID sia il Fornitore di Servizi nominano un proprio Referente, ai fini della corretta applicazione della presente Convenzione e della gestione delle relative comunicazioni.
2. AgID pubblica sul proprio sito istituzionale, nell’apposita sezione SPID, il nome del proprio Referente e il relativo indirizzo lavorativo di Posta Elettronica Certificata (PEC); il Fornitore di Servizi nomina quale proprio Referente: ,
recapito lavorativo P.E.C. ............................................
3. Le parti si impegnano a comunicarsi tempestivamente ogni variazione del nominativo e dei recapiti dei Referenti SPID.
Art. 9 - Protezione dei dati personali
1. Il Fornitore di Sevizi, individuale o Aggregatoe, si impegna a trattare i dati personali
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
degli Utenti, richiesti ai fini di autenticazione per la fruizione dei propri servizi SPID, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali e dei provvedimenti del Garante per la protezione dei dati personali, sulla base giuridica e per le finalità di cui all’art. 64 del CAD e all’art. 2, comma 2, del DPCM.
2. Nell’attività di trattamento di dati personali relativi a condanne penali e reati dei rappresentanti legali, dei preposti all’amministrazione e dei componenti degli organi di controllo dei propri Aggregati, ai sensi dell’art. 15, comma 1 del DPCM, l’Aggregatore opera al fine esclusivo di adempiere l’obbligo di cui alla citata disposizione normativa. In paticolare, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali, l’Aggregatore:
a) nel rispetto dell’art. 10 del GDPR e degli artt. 2-sexies e 2-octies del D. Lgs. 30 giugno 2003, n. 196 e s.m.i. (di seguito Codice privacy), tratta dati personali relativi a condanne penali e reati:
- sulla base giuridica costituita dall’art. 15, comma 1 del DPCM, ai sensi dell’art. 2-octies, commi 1 e 3, lett. c) del Codice privacy;
- sotto la vigilanza di XxXX, nel rispetto dell’art. 4, comma 1, lett. b) del DPCM e ai sensi degli artt. 2-octies, comma 5 e 2-sexies, comma 1 del Codice privacy;
b) tratta tale particolare categoria di dati personali al fine esclusivo di verificare, in capo alle persone fisiche che rivestono cariche sociali all’interno del soggetto Aggregato, l’assenza di condanne penali per reati commessi a mezzo di sistemi informatici con sentenza passata in giudicato, nel rispetto dei principi di limitazione della finalità, minimizzazione dei dati ed esattezza di cui all’art. 5 del GDPR;
c) tratta tali dati personali esclusivamente nell’ottica di perseguimento dell’interesse pubblico sotteso a SPID, volto a favorire la diffusione di servizi in rete e ad agevolare l’accesso agli stessi da parte di cittadini e imprese;
d) prima di procedere al trattamento dei dati, effettua una valutazione dell’impatto di tale trattamento sulla protezione dei dati personali, ai sensi dell’art. 35 del GDPR;
e) nel rispetto dei principi di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del GDPR e del principio di responsabilizzazione di cui all’art. 5, par. 2 del GDPR, adotta adeguate misure tecniche e organizzative per garantire un livello di
sicurezza adeguato al rischio, ai sensi dell’art. 32 del GDPR, e tutelare i diritti fondamentali dell’interessato;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
f) tratta i dati giudiziari mediante personale adeguatamente formato e specificamente designato ai sensi dell’art. 2-quaterdecies del Codice privacy e, qualora si avvalga di responsabili esterni del trattamento, nomina i medesimi ai sensi dell’art. 28 del GDPR;
g) non diffonde i dati giudiziari acquisiti e in nessun caso li utilizza a fini di profilazione;
h) conserva i dati giudiziari acquisiti per un arco di tempo non superiore al conseguimento delle finalità di trattamento, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del RGPD.
Art. 10 –Risoluzione della Convenzione e recesso. Risarcimento del danno
1. Fatte salve le cause di risoluzione di cui all’art. 9 dell’Addendum, in caso di irrogazione della sanzione di cui all’art. 32-bis del CAD, concernente la cancellazione del Fornitore di Servizi dall’elenco pubblico (Registro SPID), l’AgID ha diritto di dichiarare risolta ipso jure la presente Convenzione.
2. Nel caso in cui il Fornitore di Servizi cessi la propria attività o cessi l’erogazione dei servizi mediante autenticazione SpID, la presente Convenzione è risolta ipso jure.
3. Sono altresì causa di risoluzione ipso jure della Convenzione le seguenti violazioni o inosservanze poste in essere da ciascun Fornitore di Servizi:
a) Inosservanza dell’obbligo di non discriminazione dell’Utente in base al Gestore prescelto;
b) Inosservanza delle norme di legge applicabili al settore di appartenenza o ai servizi prestati nell’ambito del medesimo settore, nonché per inosservanza degli obblighi di cui all’art. 7, comma 12 dell’Addendum.
4. La comunicazione di intervenuta risoluzione dovrà essere inviata da AgID per iscritto a mezzo PEC al referente del Fornitore di Servizi individuato nella presente Convenzione e dovrà contenere un congruo termine, a favore del Fornitore di Servizi, comunque non inferiore a giorni 60, per la conseguente comunicazione agli Utenti e per tutti gli adempimenti connessi alla cessazione della propria attività nell’ambito dello SPID e, comunque, nel rispetto delle eventuali tempistiche di comunicazione ed adeguamento imposte al Fornitore di Servizi dalle normative di settore vigenti.
5. In caso di recesso dalla Convenzione, il Fornitore di servizi comunica ad AgID i riferimenti dell’Aggregatore – Denominazione del Soggetto/i Aggregatore/i, (P.IVA, CF), appositamente incaricato/i con Contratto/Convenzione (n del
......) – di cui si avvale per fornire i propri servizi in rete.
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
6. Il Fornitore di servizi è tenuto al risarcimento dei danni, derivanti da dolo o colpa nell’esercizio della propria attività, agli utenti, ad AgID e ai terzi. È altresì tenuto al risarcimento dei danni laddove i danni siano stati prodotti nell’esercizio dell’attività, per il venir meno dei requisiti o perché non si è adeguato alle prescrizioni impartite da AgID o previste nella Convenzione.
Art. 11 – Disposizioni finali
1. La presente Convenzione produce i suoi effetti a decorrere dalla data di sottoscrizione da parte dell’Agenzia per l’Italia Digitale.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
3. In relazione a qualunque controversia che insorga tra le parti in ordine all’interpretazione, esecuzione e risoluzione della presente Convenzione, le parti si impegnano a ricercare un componimento bonario della vertenza prima di adire i competenti organi giurisdiziari. Sono fatte salve le disposizioni normative e regolamentari, sostanziali e processuali, relative ai poteri sanzionatori dell’AgID.
Data