Allegato Tecnico
Allegato Tecnico
LepidaID IDP SPID
1
Nota di lettura 4
1. Premessa 4
2. Descrizione del Servizio 4
2.1. Definizioni e acronimi 4
2.2. Descrizione generale 6
3. Servizio di gestore di Identità Digitali SPID 7
3.1. Descrizione del servizio offerto 7
3.2. Attivazione degli sportelli 10
3.2.1. Processo di attivazione di sportelli 10
3.2.2. Dati e condizioni necessarie 11
3.2.3. Obblighi degli Enti per le attività di sportello 13
3.2.4. Sicurezza e riservatezza 13
3.3. Trattamento dei dati personali 14
3.4. Esercizio del servizio 14
3.5. Allegati 15
3.5.1. Template Lettera impegno Operatori sportello 15
3.5.2. Accordo per trattamento di dati personali 16
release 202
data 07.11.2023
redazione documento Xxxxx Xxxxxxx Grappadelli
verifica documento Xxxxxxx Xxxxxxxxxxxx, Xxxxxxxx Xxxxxxxx approvazione documento Xxxxxxxx Xxxxxxx
Nota di lettura
LepidaScpA, di seguito Lepida, si riserva la facoltà di poter intervenire sulle misure tecniche e organizzative descritte nel presente documento, al fine di rendere il sistema conforme alle successive indicazioni normative che dovessero subentrare in argomento. Si riserva inoltre di intervenire per la correzione di meri errori materiali o refusi.
1. Premessa
Il presente documento è redatto a seguito dell’ottenimento da parte di Lepida dell’accreditamento come Gestore di Identità DIgitale (Identity Provider IDP SPID).
2. Descrizione del Servizio
2.1. Definizioni e acronimi
● CNER - Con la Delibera DGR 758/2013 è stata approvata la Nuova convenzione per il funzionamento, la crescita e lo sviluppo della Community Network Xxxxxx-Romagna (CNER) per creare le condizioni organizzative per dare attuazione alle finalità e ai progetti contenuti nel Piano Telematico dell’Xxxxxx-Romagna, ora ADER Agenda Digitale dell’Xxxxxx-Romagna, è un’aggregazione territoriale su base regionale (Art. 30 TUEL), con propria sede (presso la sede della Regione Xxxxxx-Romagna, cui è conferito potere di rappresentanza della CNER stessa), con una governance solida e partecipata, affidata al “Comitato Permanente di Indirizzo e Coordinamento con gli Enti Locali” (Art. 6, comma 4 LR 11/04), e con uno specifico ruolo attivo da parte della Società Lepida
● CPI - Il Comitato Permanente di Indirizzo e Coordinamento con gli Enti Locali, istituito con la LR n.11/2004 e successive modifiche e integrazioni, è organismo della Community Network dell'Xxxxxx-Romagna
● Utente - Soggetto al quale viene rilasciata un’identità digitale con la quale potrà richiedere l’accesso ai servizi erogati dal Service Provider (SP); l’utente in tale contesto opera per il tramite del proprio browser
● Service Provider (SP) - Soggetto che eroga un servizio all’utente che si sia autenticato per il tramite dell’identità digitale rilasciata dall’IdP (Identity Provider). Ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Service Provider è titolare del trattamento dei dati trattati in attuazione delle finalità correlate al servizio pubblicato
● Identity Provider (IdP SPID Lepida) - Soggetto abilitato a rilasciare e gestire un’identità digitale all’utente; l’identità digitale consente all’utente di autenticarsi al Service Provider (SP) il quale, nel rispetto delle normative e del regolamento SPID, potrà consentire l’accesso ai propri servizi erogati. Ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), l’IdP SPID Lepida è titolare del trattamento dei dati trattati ai fini dell’attribuzione dell’identità digitale e di fruizione dei servizi erogati online dai “Fornitori di servizi” tramite il Sistema Pubblico per la gestione dell’Identità Digitale (SPID)
● Identità Digitale - La rappresentazione informatica della corrispondenza biunivoca tra un utente e suoi dati identificativi, verificata attraverso l'insieme delle informazioni raccolte e registrate in forma digitale
● Autenticazione informatica - Verifica effettuata dal gestore dell'identità digitale, su richiesta del fornitore di servizi, della validità delle credenziali di accesso presentate dall'utente al fine di convalidarne l'identificazione informatica
● Gateway (GW) - Il sistema che permette il colloquio tra i service provider e gli identity provider per la verifica dell’identità per l’accesso ai servizi
● Gestore del Gateway - Soggetto che gestisce il Gateway (Lepida); ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Gestore del gateway è responsabile del trattamento dei dati gestiti dagli enti aggregati;
● SPID - Sistema Pubblico dell’Identità Digitale di cittadini e imprese, istituito ai sensi del Codice Amministrazione Digitale (CAD)
● Soggetto aggregatore SPID - i soggetti di cui all’art. 2 comma 2 del D.lgs. 82/2005 o le società di capitali che, a seguito della sottoscrizione di specifica
Convenzione con AgID, si propongono come fornitori di un servizio finalizzato ad agevolare l’ingresso nel sistema SPID di quei fornitori di servizi, soggetti aggregati pubblici o privati, che non ritengano di attivare la struttura necessaria a consentire l’autenticazione informatica degli utenti attraverso l’uso dello SPID per l’accesso ai propri servizi in rete;
● Soggetto aggregato SPID -i soggetti pubblici o privati che usufruiscono del servizio offerto da un soggetto aggregatore, secondo le modalità tecniche e amministrative previste da AgID e a seguito di specifici accordi sottoscritti tra il soggetto aggregato e il soggetto aggregatore e notificati ad AgID.
● eIDAS - Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 sull’identità digitale - ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri
● CIE 3.0 - Carta d'Identità Elettronica che consente l’accesso ai servizi online della Pubblica Amministrazione.
2.2. Descrizione generale
FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) è l’infrastruttura tecnica e organizzativa della CNER realizzata e gestita da Lepida, su mandato di Regione Xxxxxx-Romagna, sulla base della piattaforma tecnologica FedERa e dei relativi servizi. Il governo della Federazione è demandato alla Regione Xxxxxx-Romagna, alla CNER, la quale opera anche per il tramite del proprio rappresentante al CPI, e a Lepida.
L’evoluzione di FedERa, a seguito dell’accreditamento di Lepida come Gestore di identità digitale nell’ambito di SPID (Identity Provider IDP SPID) e l’avvio dei relativi servizi e della dismissione completa delle identità della federazione FedERa, si traduce in due distinti servizi:
● Servizio di gestore di identità digitali nell’ambito di SPID (LepidaID)
● Servizio di gateway che permette l’accesso ai servizi telematici esposti da Service Provider (SP) utilizzando i servizi di autenticazione offerti dagli IdP SPID, la CIE 3.0, la
CNS e, in futuro, eIDAS.
3. Servizio di gestore di Identità Digitali SPID
Lepida è diventata Gestore di identità digitali SPID (IdP SPID), su indicazione della Regione Xxxxxx-Romagna e degli Enti aderenti alla CNER come è ribadito nella Delibera della Giunta Regionale dell’Xxxxxx-Romagna 420/2018, valorizzando l’esperienza FedERa. La scelta di accreditamento di Lepida come IDP SPID nasce principalmente dalla volontà di Regione Xxxxxx-Romagna, e degli Enti pubblici della regione, di valorizzare e consolidare l’oltre milione di identità digitali gratuite FedERa esistenti, largamente conosciute ed utilizzate dai cittadini dell’Xxxxxx-Romagna, e non solo, per l’accesso a qualunque servizio della Pubblica Amministrazione, regionale o nazionale.
Infatti, Lepida ha ottenuto l’accreditamento da parte dell’Agenzia per l’Italia Digitale (AgID) come Gestore di identità digitale e ha avviato il servizio LepidaID (xx.xxxxxx.xx) nella seconda metà di novembre 2018 a seguito del perfezionamento della Convenzione che disciplina il rapporto nell’ambito di SPID tra Lepida e XxXX.
3.1. Descrizione del servizio offerto
Lepida fornisce il servizio di Gestore di identità digitali SPID, denominato LepidaID, attraverso una piattaforma tecnologica e secondo un modello organizzativo gestionale nel rispetto delle modalità attuative e specifiche tecniche SPID e delle relative evoluzioni.
La piattaforma tecnologica, realizzata e gestita da Lepida, è composta logicamente da due componenti: IdP (Identity Provider), che svolge le funzioni di gestione del processo di autenticazione utilizzando il Protocollo SAML 2.0, e IdM (Identity Management), che permette la gestione del ciclo di vita delle identità digitali con opportune interfacce disponibili in base al ruolo dell’utente (cittadino, operatore, amministratore di sistema).
Oltre alle identità digitali SPID ad uso privato Lepida mette a disposizione e gestisce identità digitali SPID ad uso professionale per persona fisica e persona giuridica sulla base delle Linee guida per il rilascio dell'identità digitale per uso professionale di AGID. Per le identità SPID ad uso professionale per persona giuridica, l’Ente socio deve
sottoscrivere un apposito Accordo con Lepida che definisce le responsabilità e le modalità di rilascio delle identità digitali ad uso professionale per persona giuridica ai dipendenti dell’organizzazione stessa.
Lepida eroga il servizio secondo il modello SPID, nel rispetto delle regole emesse da XxXX, fornisce le identità digitali e gestisce l’autenticazione degli utenti.
Le identità digitali SPID ad uso privato rilasciate da Lepida sono gratuite e non prevedono costi ricorrenti a carico del cittadino.
Le identità digitali SPID ad uso professionale sono fornite da Lepida dal 1.1.2022 secondo i listini approvati dal CPI e pubblicati sul sito di Lepida.
L’emissione delle identità digitali SPID ad uso privato, e quindi il rilascio delle credenziali LepidaID, avviene a seguito di una richiesta dell’utente (registrazione online) e previa verifica dei dati dell’utente da parte di Lepida o di operatori qualificati opportunamente formati e incaricati da Lepida. In alcuni sportelli fisici abilitati la richiesta può avvenire anche tramite la modalità assistita, ovvero con il supporto di un operatore qualificato opportunamente formato e abilitato.
Lepida mette a disposizione dei cittadini sei modalità di identificazione.
All’avvio del servizio, Lepida ha reso disponibile un servizio base gratuito per tutti i cittadini italiani con due modalità di identificazione:
1. Identificazione informatica tramite documenti digitali di identità (CIE/ TS CNS)
2. Identificazione informatica tramite firma elettronica qualificata o firma digitale
Tali modalità richiedono una registrazione online da parte del cittadino, una verifica automatica dei dati delle carte digitali o della firma, e una verifica dell’identità del cittadini basata sui documenti di riconoscimento inseriti a sistema. Queste due modalità sono, di norma, gestite da personale di Lepida, adeguatamente formato sul sistema e sulle procedure da seguire, senza ricorrere agli sportelli fisici sul territorio e sfruttando le apposite interfacce messe a disposizione dalle istituzioni competenti per effettuare le verifiche previste.
Lepida rende disponibile gratuitamente per i cittadini anche la modalità di:
3. Identificazione a vista del soggetto richiedente
4. Identificazione informatica tramite CIE 3.0
5. Identificazione con registrazione audio/video e bonifico simbolico
Per l’identificazione a vista del soggetto richiedente, a seguito di una registrazione online oppure di una richiesta di adesione in modalità assistita, sono abilitati gradualmente appositi sportelli fisici, preposti al rilascio delle identità digitali, che sono attivati principalmente e progressivamente nelle sedi degli Enti del territorio, e anche presso altre sedi, per effettuare l’identificazione a vista e l’attivazione dell’identità digitale SPID LepidaID da parte di un operatore.
L’attivazione degli sportelli avviene solo a seguito del completamento della formalizzazione degli accordi e la formazione necessaria a tutti gli operatori per garantire tutti i requisiti di conoscenza e il rispetto delle procedure definite da Lepida.
Per l’identificazione informatica tramite CIE 3.0, il sistema avvia una specifica procedura che consente l’accesso mediante l’utilizzo della CIE 3.0, interfacciandosi con il sito del Ministero dell’Interno.
Per l’identificazione con registrazione audio/video e bonifico, l’utente richiedente deve caricare a sistema una registrazione audio/video realizzata in maniera autonoma e corrispondente alle istruzioni fornite dal sistema. Il rilascio dell’identità digitale SPID LepidaID è subordinata alla ricezione entro 10 giorni da parte di LepidaScpA di uno specifico bonifico di valore simbolico (devoluto in beneficenza alla Protezione Civile), necessario per completare l’identificazione dell’utente, nonché all’esito delle verifiche previste dalle normative.
Infine, Lepida mette a disposizione, a pagamento, la modalità di:
6. Identificazione a vista da remoto (videocomunicazione con operatore) del soggetto richiedente.
L’identificazione a vista da remoto del soggetto richiedente, a seguito di una registrazione online, viene effettuata a cura di personale Lepida, considerando i requisiti
qualitativi e quantitativi necessari (ad esempio durata e qualità di registrazione audio/video e relativa conservazione).
Lepida offre inoltre, come servizio aggiuntivo, il servizio di sottoscrizione elettronica di documenti attraverso l’utilizzo dell’identità digitale SPID LepidaID ai sensi dell’art. 20 del CAD, la cosiddetta “Firma con SPID”. Il servizio è stato realizzato sulla base delle regole tecniche definite da AGID (Regole Tecniche per la sottoscrizione elettronica di documenti) ed è fornito da Lepida dal 1.1.2022 secondo i listini approvati dal CPI.
3.2. Attivazione degli sportelli
L’attivazione, la gestione e l’erogazione del servizio LepidaID è di competenza di Lepida.
I servizi erogati da Lepida, come gestore di identità digitale SPID (LepidaID), sono oggetto di una Convenzione con AgID, come previsto dalle normative, con la descrizione e le caratteristiche dei servizi, ivi compresi gli indicatori di qualità e livelli di servizio.
Il coinvolgimento degli Enti nell’erogazione del servizio LepidaID avviene principalmente nel caso di volontà dell’Ente di attivare sul territorio, a favore dei cittadini, sportelli del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle credenziali nel rispetto delle procedure stabilite da Lepida.
3.2.1. Processo di attivazione di sportelli
L’attivazione di sportelli di un Ente richiede la nomina da parte dell’Ente, e la comunicazione a Lepida, di un proprio referente per il servizio LepidaID che sarà il soggetto titolato a richiedere, attraverso le modalità nel seguito descritte, l’attivazione degli sportelli di competenza dell’Ente e verificarne la corretta implementazione. L’Ente si impegna a comunicare a Lepida il nominativo del proprio referente al momento dell’adesione al servizio nonché tempestivamente ad ogni eventuale variazione del referente precedentemente indicato.
L’Ente deve prendere visione, nell’apposita sezione del sito di Lepida della versione vigente del presente Allegato Tecnico, da intendersi parte integrante del contratto FedERa, che si intende approvato e accettato in ogni sua parte.
Gli operatori individuati dall’Ente e indicati a Lepida saranno opportunamente formati
da Lepida e firmeranno una dichiarazione di impegno alla verifica dell’identità e delle procedure Lepida.
L’Ente deve mantenere aggiornato l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale disabilitazione del ruolo di operatore per i propri collaboratori.
Gli “operatori” sono i soggetti identificati nominalmente da ciascun Ente e svolgono la funzione di identificazione de visu del cittadino che ha precedentemente effettuato la registrazione sul sito xx.xxxxxx.xx, procedendo con la conseguente verifica dell’identità dichiarata e, qualora le verifiche riscontrino esito positivo, con l’attivazione della sua identità digitale SPID LepidaID.
Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali SPID LepidaID (all’indirizzo xxxxx://xx.xxxxxx.xx/xxxxxxxxx) e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio. Si fa presente infatti che alcune funzionalità sono riservate esclusivamente agli operatori di Lepida.
Tutte le procedure inerenti il servizio di IDP SPID Lepida sono oggetto di approvazione formale da parte di AgID e di certificazione e audit specifici. Pertanto è fondamentale che tutti gli attori, ivi compreso gli operatori, si attengano rigorosamente alle procedure e indicazioni stabilite da Lepida.
3.2.2. Dati e condizioni necessarie
L’Ente deve comunicare a Lepida le informazioni complete necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida. Le informazioni, da comunicare via PEC a Lepida, riguardano principalmente:
● Tutti i dati dell’Ente
● I dati del referente (nome, cognome, e-mail, telefono)
● Gli indirizzi IP delle postazioni da cui gli operatori accedono al servizio “xx.xxxxxx.xx”, in quanto gli operatori possono accedere soltanto da tali indirizzi, e l’elenco degli operatori associati a ciascuno sportello;
● I nominativi degli operatori e i relativi codici fiscali
● L’elenco degli sportelli e per ciascuno di essi: la relativa denominazione, indirizzo fisico, l’elenco operatori da associare allo sportello e giorni e orari ricevimento del pubblico.
Tutte le comunicazioni relative al servizio LepidaID e alle modalità di attivazione dei servizi devono essere indirizzate a Lepida attraverso una apposito form online sulla pagina di assistenza per la ricezione delle richieste di informazioni relative all’avvio di nuovi sportelli.
L’attivazione e l’abilitazione degli sportelli, da parte di Lepida, avviene soltanto a seguito del verificarsi delle seguenti condizioni:
● Richiesta dell’Ente di attivazione degli sportelli
● Trasmissione a Lepida delle informazioni summenzionate da parte dell’Ente
● Partecipazione degli operatori dell’Ente alle attività di formazione che vengono svolte a cura di Lepida
● Presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori di un Ente, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure e che include il rigoroso rispetto delle procedure e le indicazioni di Lepida
● Xxxxxxxxxxx da parte di tutti gli operatori di una identità SPID LepidaID.
Lepida garantisce il supporto necessario agli Enti che intendano attivare sportelli di propria competenza in termini di formazione degli operatori, di messa a disposizione di materiale formativo e informativo, di aggiornamento e supporto alle attività degli operatori nelle loro attività quotidiane.
Una volta attivato uno sportello, qualora l’Ente abbia la necessità di attivare ulteriori operatori non presenti alla sessione di formazione di avvio dello sportello può avvalersi della possibilità di effettuare la formazione, secondo le procedure indicate puntualmente da Lepida.
3.2.3. Obblighi degli Enti per le attività di sportello
L’Ente deve garantire il rigoroso rispetto delle procedure e delle indicazioni di Lepida, sulla base di quelle approvate da AgID, nel funzionamento degli sportelli.
L’Ente si impegna a individuare come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Lepida e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità di natura civile e penale nelle quali potrebbero incorrere nello svolgimento di tale attività.
L’Ente si impegna a fornire ad ogni soggetto incaricato a svolgere attività di sportello un cartellino di riconoscimento da indossare durante le attività di sportello come operatore di Registration Authority del Gestore SPID Lepida.
Lepida si riserva la facoltà di effettuare degli audit, su propria iniziativa o su richiesta di XxXX, direttamente o indirettamente tramite soggetti autorizzati, sul funzionamento degli sportelli e il comportamento degli operatori.
3.2.4. Sicurezza e riservatezza
L’Ente ha l’obbligo di mantenere riservati i dati e le informazioni di cui venga in possesso e comunque a conoscenza tramite l'esecuzione delle attività di sportello, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione dell'attività di sportello LepidaID e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione di Lepida. L’obbligo sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione delle attività di sportello. L’obbligo non concerne i dati che siano o divengano di pubblico dominio.
L’Ente è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza come definito sopra e risponde nei confronti di Lepida per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
Sarà possibile ogni operazione di auditing da parte di Lepida attinente le procedure adottate dall’Ente in materia di riservatezza e degli altri obblighi assunti dal presente
contratto.
3.3. Trattamento dei dati personali
Per le finalità relative all’attribuzione dell’identità digitale e di fruizione dei servizi erogati online dai “Fornitori di servizi” tramite il Sistema Pubblico per la gestione dell’Identità Digitale (SPID) Lepida agisce in qualità di autonomo Titolare del trattamento dei dati.
In tutti i casi in cui l’Ente socio effettui, per conto di LepidaScpa, attività di sportello del servizio LepidaID per l’assistenza alla registrazione, all’identificazione dei richiedenti e all’attivazione delle identità digitali, lo Stesso è nominato da Lepida quale Responsabile del trattamento.
Con riferimento alla conversione in utenze LepidaID delle identità pregresse del sistema di autenticazione denominato FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) si invita a prendere visione del par. 2 del documento “LepidaID - Relazione trattamento dati personali”
3.4. Esercizio del servizio
Lepida eroga il servizio di LepidaID nel rispetto della Convenzione stipulata con XxXX adottando tutte le misure di sicurezza e le procedure applicative e gestionali previste. La Convenzione prevede, nell’Allegato 3, degli indicatori di qualità (Service Level Agreement) e le caratteristiche sulla continuità operativa relativi per l’adesione dei Gestori delle identità digitali nell’ambito di SPID.
Il rilascio delle credenziali deve avvenire entro i 5 giorni lavorativi dal momento in cui si è in possesso di tutta la documentazione di identificazione prevista. Pertanto, l’Ente deve garantire il rilascio delle credenziali entro 5 giorni lavorativi dal riconoscimento de visu del richiedente.
3.5. Allegati
3.5.1. Template Lettera impegno Operatori sportello
LepidaID
Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Spett. le Lepida S.c.p.A.
Xxx Xxxxxxxxxxx 00
00000 Xxxxxxx
Oggetto: Dichiarazione di impegno dei soggetti deputati alla verifica dell’identità dei titolari
Con riferimento al regolamento SPID (versione 2.0 del 22 luglio 2016) recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale (articolo 1, comma 1, lettera I), DPCM 24 ottobre 2014 (nel seguito DPCM), con la presente il sottoscritto
Codice Fiscale ,, operante presso la sede
Dichiara
● di essere dipendente dell’Ente/Società presso cui risulta operatore.
● l’impegno ad operare nel pieno rispetto delle procedure descritte nel Manuale Operativo di LepidaID e secondo il Regolamento Recante le Modalità attuative per la realizzazione dello SPID (art.4, comma 2, DPCM 24 ottobre 2014).
● la presa d’atto delle responsabilità civili e penali eventualmente derivanti dalla mancata applicazione delle procedure previste.
Data,
Luogo,
Firma
3.5.2. Accordo per trattamento di dati personali
Il presente Accordo disciplina oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile, che discendono dalle attività di cui ai parr. 2.2 e ss. dell’Allegato Tecnico Federa-SPID. Per tali attività l’Ente Socio è nominato quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del GDPR da Lepida.
Premesse
Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.
● Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679
● Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679
● Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679
● Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679 o che pregiudichi i diritti o le libertà fondamentali degli interessati
● In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Le Parti convengono quanto segue:
1. Descrizione del trattamento
1.1 Finalità per le quali i dati personali sono trattati per conto del titolare del trattamento
Gli Enti Soci effettuano il trattamento di dati personali denominato “Attività di sportello del servizio LepidaID per l’assistenza alla registrazione, l’identificazione dei richiedenti e l’attivazione delle identità digitali” afferenti alle attività meglio descritte nei parr. 2 e ss. dell’Allegato Tecnico Federa-SPID.
1.2 Categorie di interessati i cui dati personali sono trattati
☐ Dipendenti/Consulenti
☐ Utenti
☐ Xxxxxxxx che ricoprono cariche sociali
☐ Beneficiari o assistiti
☐ Pazienti
☐ Minori
1.3 Categorie di dati personali trattati
☐ Dati personali di natura particolare
☒ Dati personali comuni
☐ Persone vulnerabili
☐ Migranti
☐ Studenti maggiorenni
☐ Lavoratori
☒ Cittadini
☐ Dati personali relativi a condanne penali e reati
2. Istruzione per il Responsabile del trattamento
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto di Lepida garantisce che:
2.1.1 tratta tali Dati personali solo ai fini dell’esecuzione del presente accordo e di quanto definito nell’allegato tecnico succitato, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente
sulla base delle istruzioni documentate e fornite da Lepida;
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte da Lepida e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico da Lepida, financo per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà Lepida se, a suo parere, una qualsiasi istruzione fornita dalla stessa si ponga in violazione di Normativa applicabile.
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate a Lepida dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite d Lepida in materia;
2.2.2 nel caso in cui il Responsabile del trattamento sia tenuto alla raccolta di dati personali per conto di Lepida, lo stesso deve somministrare agli interessati l’informativa per il trattamento dei dati personali utilizzando il fac-simile messo a disposizione dal Titolare.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
4.1 Il Responsabile del trattamento garantisce competenze e affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto di Lepida.
4.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
4.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
5. Documentazione e rispetto
5.1 Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
5.2 Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
5.3 Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal regolamento (UE) 2016/679.
5.4 Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
6. Ricorso a Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito del presente Accordo, il Responsabile del trattamento è autorizzato alla nomina di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione al Titolare, fornendo allo stesso le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
6.2 L’autorizzazione generale di cui al punto che precede è subordinata al possesso da
parte del “sub-responsabile” dei seguenti requisiti:
● sede legale in uno degli Stati membri dell’UE
● non siano trasferiti i dati in Paesi extra UE
● il sub-responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato dello stesso livello del Responsabile del trattamento
● i compiti e le responsabilità correlate al trattamento dei dati personali di titolarità di Lepida siano disciplinate da atto scritto tra Responsabile e Sub-responsabile
6.3 Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679.
6.4 Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 Lepida non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Assistenza al Titolare del trattamento
8.1 Il responsabile del trattamento notifica prontamente al titolare del trattamento
qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
8.2 Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere
a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del trattamento.
9 Notifica di una violazione dei dati personali
9.1 In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
9.2 In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:
a) nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche
b) nell'ottenere le seguenti informazioni che, in conformità all'articolo 33, paragrafo 3, del regolamento (UE) 2016/679, devono essere indicate nella notifica del titolare del trattamento e includere almeno:
i. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
ii. le probabili conseguenze della violazione dei dati personali;
iii. le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali, se del
caso anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
c) nell'adempiere, in conformità dell'articolo 34 del regolamento (UE) 2016/679, all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
9.3 In caso di una violazione dei dati personali trattati dal responsabile del trattamento, quest'ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
10. Inosservanza delle clausole e risoluzione
10.1 Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di
sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
11. Responsabilità e manleve
11.1 Il Responsabile del trattamento tiene indenne e manleva Lepida da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
11.2 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui al presente accordo, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
GLOSSARIO
“Garante per la protezione dei dati personali” - È l’autorità di controllo responsabile per la protezione dei dati personali in Italia
Dati personali - Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
GDPR o Regolamento - Si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018
Normativa Applicabile - Si intende l’insieme delle norme rilevanti in materia protezione dei dati personali , incluso il Regolamento Privacy UE 2016/679 (GDPR) e ogni
provvedimento del Garante per la protezione dei dati personali e del WP Art. 29
Reclamo - Si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento
Titolare del Trattamento - La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri
Trattamento - Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione
Responsabile del trattamento - La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento