CONVENZIONE PER L’ADESIONE ALLO SPID
Logo Gestore Identità
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
DT …/2022 – Convenzione SPID AGID-IdP
CONVENZIONE PER L’ADESIONE ALLO SPID
DEL GESTORE DELL’IDENTITA’ DIGITALE PER LA DISCIPLINA DELLE ATTIVITA’ CONSEGUENTI ALL’ACCREDITAMENTO
Il del mese di dell’anno _
TRA
l’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n. 97735020584, in persona del Direttore Generale e legale rappresentante pro tempore, con sede in Roma alla Via Xxxxx 21,
e
la Società , con sede in , codice fiscale / partita IVA , numero di iscrizione al registro imprese
, nella persona del
tempore, _ ,
PREMESSO CHE
e legale rappresentante pro
a) l’articolo 64, comma 2-bis, del D. Lgs. 82/2005 recante il Codice dell’Amministrazione Digitale (di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”) utilizzabile da persone fisiche e giuridiche, come chiarito dall’articolo 61, comma 2, lettera
d) del D. Lgs. 179/2016 (di seguito “utenti”);
b) ai sensi dell’articolo 64, comma 3-ter, del CAD “il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accredita mento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificanogli utenti per consentire loro il compimento di attività e l’accesso ai servizi in rete”. I soggetti accreditati sono iscritti in apposito elenco pubblico (“Registro SPID”) tenuto da AgID ai sensi dell’articolo 64, comma 2-undecies del CAD. Sui soggetti
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
pubblici e privati che partecipano a SPID a norma dell’articolo 64 del CAD, si applicano le funzioni di vigilanza di cui all’articolo 14-bis, comma 2, lettera i) del CAD;
c) nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il DPCM 24 ottobre 2014, adottato a norma dell’articolo 64, comma 2-sexies del CAD, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM), modificato dal DPCM 19 ottobre 2021, pubblicato nella Gazzetta Ufficiale n. 296 del 14 dicembre 2021;
d) il DPCM stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
e) il sistema SPID è stato notificato ai sensi dell’articolo 9 del Regolamento (UE) n. 910/2014 (“Regolamento eIDAS”) ed è stato pubblicato come regime di identificazione elettronica nella Gazzetta Ufficiale dell’Unione Europea C318 del 10 settembre 2018. A seguito della notifica, l’identità digitale SPID può essere usata per l’accesso ai servizi in rete delle pubbliche amministrazioni dell’Unione Europea. Ai soggetti che rilasciano l’identità digitale SPID si applicano gli obblighi e le responsabilità indicati al Capo II del Regolamento eIDAS con riferimento alla parte che rilascia i mezzi di identificazione elettronica;
f) dal 25 maggio 2018 è in applicazione il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito “GDPR”);
g) l’articolo 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata a svolgere le seguenti attività:
- gestire l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
- curare l’aggiornamento del Registro SPID e vigilare sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’utente e verificare le modalità con cui le identità digitali
sono state rilasciate e utilizzate;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
- stipulare apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità; a tali convenzioni i gestori dell’identità digitale sono tenuti ad aderire secondo le modalità indicate nei regolamenti adottati dall’AgID ai sensi del medesimo articolo 4;
h) il DPCM, agli articoli 1 e 13, disciplina l’accesso dei fornitori, pubblici e privati, di servizi al sistema SPID a mezzo di apposita convenzione, definita nell’ambito dei regolamenti attuativi, che tra l’altro stabilisce l’obbligo di non discriminare gli utenti sulla base del gestore di identità digitale prescelto dai medesimi;
i) il DPCM, agli articoli 7, 8 e 11, disciplina rispettivamente il rilascio e la gestione delle identità digitali, nonché gli obblighi dei gestori dell’identità digitale;
j) il DPCM stabilisce, all’articolo 15, specifiche norme per l’adesione allo SPID da parte dei fornitori privati di servizi, per i quali la convenzione relativa potrà regolare in particolare anche i corrispettivi che gli stessi dovranno ai gestori dell’identità digitale ed ai gestori di attributi qualificati per i servizi di autenticazione;
k) con la Determinazione AgID n. 44 del 28 luglio 2015 e sono stati emanati i seguenti Regolamenti previsti dall’articolo 4, commi 2, 3 e 4 del DPCM, in seguito parzialmente integrati e modificati con le Determinazioni n. 189 del 22 luglio 2016 e n. 425 del 1 ottobre 2020, alle quali la presente Convenzione fa espresso riferimento:
- il Regolamento recante le modalità attuative per la realizzazione dello SPID;
- il Regolamento recante le regole tecniche;
- il Regolamento recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale;
- il Regolamento recante le procedure per consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
l) ai sensi dell’articolo 10, comma 2, del DPCM e dell’articolo 3 del Regolamento recante le modalità attuative per la realizzazione dello SPID, a seguito dell’accoglimento della richiesta di accreditamento, l’AgID stipula apposita convenzione secondo lo schema definito nell’ambito dei regolamenti di cui all’art. 4 e dispone l’iscrizione del richiedente nel registro SPID, consultabile in via telematica;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
m) con nota prot. n. del , la ha
richiesto l’accreditamento quale gestore dell’identità digitale;
n) con Determinazione n. _ del , l’AgID ha accolto la richiesta della
;
o) con Determinazione n.
del _
, adottata ai sensi del richiamato
articolo 4, di modifica e aggiornamento della Determinazione n. 166/2019, l’AgID ha approvato il nuovo schema di Convenzione, e relativi allegati, per l’adesione dei soggetti che hanno ottenuto l’accreditamento quali Gestori delle identità digitali; detto schema di Convenzione è soggetto a revisione e modifiche, con le procedure appositamente previste dalla stessa, in relazione all’evoluzione tecnica e normativa dello SPID;
p) la presente Convenzione, con i relativi allegati, è conforme al suddetto schema; la sua sottoscrizione impegna il Gestore dell’identità digitale a rispettare la normativa vigente che disciplina lo SPID nonché le regole, le procedure e i relativi aggiornamenti emanati da AgID, oltre che nei rapporti con le Pubbliche Amministrazioni anche nei rapporti con i privati fornitori e/o aggregatori di servizi e gestori degli attributi qualificati aderenti allo SPID (di seguito “Soggetti aderenti allo SPID”);
Tutto ciò premesso
SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto della presente Convenzione, Allegati e Iscrizione nel Registro SPID
1. Le premesse, gli atti e i documenti richiamati nella presente Convenzione, ancorché non materialmente allegati, ne costituiscono parte integrante e sostanziale.
2. La presente Convenzione disciplina il rapporto fra AgID e , in
qualità di Gestore dell’identità digitale (di seguito “Gestore”) nell’ambito di SPID per l’espletamento da parte dello stesso di tutte le attività conseguenti all’accreditamento.
3. Ai fini di cui al precedente comma 2, sono allegati e parti integranti e sostanziali della Convenzione:
− l’Addendum, esplicativo e integrativo della stessa e concernente la descrizione del “Circuito” SPID (di seguito “Addendum”, all. 1);
− il Disciplinare dei rapporti tra il Gestore dell’identità digitale e i Fornitori di servizi privati, individuali o Aggregatori di fornitori di servizi privati (di seguito, anche Fornitori di servizi), aderenti al Circuito SPID (di seguito “Disciplinare”, all. 2);
− il documento recante gli indicatori di qualità e i livelli di servizio (all. 3);
− il tariffario dei servizi resi dai Gestori ai Fornitori di Servizi (di seguito “Tariffario”, all. 4).
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
4. Con la sottoscrizione della presente Convenzione il Gestore accetta il contenuto degli allegati indicati al comma precedente, assumendo le obbligazioni in esso contenute anche nei riguardi degli altri operatori del circuito, senza necessità di un’ulteriore specifica formalizzazione dei rapporti tra i medesimi operatori.
5. Entro il termine di dieci giorni dalla stipula della presente Convenzione, XxXX dispone l’iscrizione del Gestore nell’apposito Registro SPID, di cui all’art.1, comma 1, lett. s) del DPCM.
Art. 2 - Obblighi del Gestore
1. Il Gestore, che fornisce il servizio conformemente a quanto autorizzato ai fini dell’accreditamento, a seguito dell’iscrizione nel Registro SPID, si obbliga a:
a) assicurare che l’identità SPID sia attribuita alla persona identificata ai sensi dell’art. 7, lett. e) del Regolamento eIDAS e dei Regolamenti emanati da AgID;
b) fornire agli utenti un servizio conforme a quanto previsto dalle norme richiamate in premessa, con particolare riferimento alla normativa unionale e nazionale in tema di protezione dei dati personali e ai Regolamenti AgID, nel rispetto della Direttiva del Presidente del Consiglio dei Ministri 27 gennaio 1994 “Principi sull’erogazione dei servizi pubblici”;
c) utilizzare sistemi affidabili che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale, allineare le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato, e adeguare i propri sistemi a seguito degli aggiornamenti emanati dall’Agenzia;
d) adeguare misure volte a prevenire ogni possibile contraffazione, nonché idonee anche a garantire la riservatezza, l’integrità e la sicurezza del procedimento e delle attività di generazione delle credenziali di accesso;
e) effettuare un monitoraggio continuo, seguendo criteri di necessità e proporzionalità, al fine di poter rilevare e prevenire gli usi impropri o i tentativi di violazione, intrusione, duplicazione, clonazione e quant’altro delle credenziali di accesso dell’identità digitale di ciascun utente, obbligandosi, previa comunicazione all’utente, all’immediata sospensione dell’identità digitale nel caso in cui siano rilevate attività che possano essere riconducili a tentativi illeciti di utilizzo delle identità;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
f) garantire, in caso di inoperatività del servizio online di sospensione e revoca delle credenziali, modalità alternative, preventivamente comunicate ad AgID, per consentire all’utente di usufruire del predetto servizio di sospensione o revoca;
g) garantire, nell’ambito del suo dominio, l’univocità del codice identificativo dell’identità digitale, secondo quanto specificato nelle modalità attuative;
h) applicare, nei modi e nei tempi indicati da AgID, le procedure necessarie a consentire, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
i) formare adeguatamente i soggetti incaricati della verifica dell’identità dei richiedenti, fornendo agli stessi ogni informazione in merito alle procedure applicative e alle responsabilità di natura civile e penale nelle quali potrebbero incorrere in caso di violazione, nello svolgimento di tale attività, degli obblighi di verifica dell’identità secondo i più alti livelli di controllo disponibili, indicati agli artt. da 7-11 del Regolamento sulle modalità attuative o negli ulteriori Regolamenti emessi da AgID ai sensi dell’art. 7, comma 3 del DPCM;
j) garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’industria, del commercio e dell’artigianato 30 novembre 1993, n. 591, con una differenza non superiore al minuto primo;
k) effettuare, con cadenza almeno annuale, un’analisi dei rischi e un riesame della valutazione sulla protezione dei dati personali ai sensi dell’art. 35 del Regolamento (UE) 2016/679;
l) condurre, con cadenza almeno semestrale, un’attività di vulnerability assessment, anche ai sensi dell’art. 11 comma 1, lett. g) del DPCM;
m) garantire, conformemente ai prescritti SLA, la continuità operativa dei servizi di loro competenza afferenti allo SPID;
n) effettuare costantemente e senza soluzione di continuità l’attività di monitoraggio della sicurezza dei sistemi, garantendo, tramite un’apposita struttura interna di pronto intervento, la gestione degli incidenti;
o) garantire la gestione sicura delle componenti riservate delle identità digitali dei singoli utenti, assicurando che le stesse non siano rese disponibili a terzi, ivi compresi i fornitori di servizi, neppure in forma cifrata;
p) garantire la disponibilità delle funzioni, l’applicazione dei modelli architetturali e il rispetto delle disposizioni richiamate in premessa e previste dal DPCM, dai Regolamenti attuativi AgID, dalle Linee Guida e dagli Avvisi emanati da AgID;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
q) sottoporsi, con cadenza almeno biennale, a una verifica di conformità alle disposizioni vigenti da parte di un organismo di valutazione accreditato ai sensi del Regolamento CE 765/2008 del Parlamento Europeo e del Consiglio del 9 luglio 2008 e s.m.i., obbligandosi a inviare ad AgID l’esito della verifica, redatto dall’organismo di valutazione in originale lingua inglese, entro tre giorni lavorativi dalla certificata prova della sua ricezione;
r) rispettare quanto specificato nell’Appendice D del Regolamento recante le modalità attuative per la realizzazione dello SPID con riferimento all’uso degli elementi grafici identificativi dello SPID;
s) pubblicare, entro dieci giorni dalla data di iscrizione nel Registro SPID, in una sezione del proprio sito web denominata “Soluzioni tecnologiche per l’autenticazione SPID”, l’elenco dei sistemi di autenticazione presentati dalla società stessa e approvati da AgID, con indicazione del livello di sicurezza associato a ciascuno di essi e la relativa data di approvazione;
t) aderire, assumendone i relativi oneri, alle apposite convenzioni che XxXX stipula con i soggetti che attestano la validità degli attributi identificativi e che consentono la verifica dei documenti di identità;
u) in caso di cessazione volontaria dell’attività, applicare quanto prescritto dall’art. 12 del DPCM, minimizzando, per quanto possibile, il disagio dei propri utenti;
v) garantire l’aggiornamento del piano della sicurezza e curarne il tempestivo invio ad AgID;
w) osservare scrupolosamente la vigente normativa unionale e nazionale in materia di protezione dei dati personali e i provvedimenti del Garante per la protezione dei dati personali, con particolare riferimento ai principi di cui all’art. 5 del GDPR, alla liceità del trattamento ai sensi dell’art. 6 del GDPR, alla corretta ed esaustiva informazione degli interessati sul trattamento dei loro dati personali ai sensi degli artt. 12-14 del GDPR, al rispetto dei diritti dell’interessato di cui agli artt. 15-23 del GDPR, alla protezione dei dati sin dalla progettazione e per impostazione predefinita ai sensi dell’art. 25 del GDPR, alla corretta formalizzazione del ruolo dei propri responsabili del trattamento dei dati personali ai sensi degli artt. 4, par. 1, n. 8 e 28 del GDPR, alla formazione, istruzione ed eventuale designazione del proprio personale ai sensi degli artt. 29 del GDPR e 2-quaterdecies del D. Lgs. 30 giugno 2003 e s.m.i., alla tenuta del registro delle attività di trattamento ai sensi dell’art. 30 del GDPR, alla sicurezza del trattamento ai sensi dell’art. 32 del GDPR, alle attività necessarie in caso di violazione dei dati personali ai sensi degli artt. 33-34 del GDPR, all’effettuazione della valutazione d’impatto
sulla protezione dei dati personali e all’eventuale preventiva consultazione con il Garante per la protezione dei dati personali ai sensi degli artt. 35 -36 del GDPR, alla designazione del
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
responsabile della protezione dei dati personali ai sensi e per gli effetti di cui agli artt. 37-39 del GDPR e al suo reale coinvolgimento nella protezione dei dati personali oggetto di trattamento con riferimento al rilascio e alla gestione delle identità digitali;
x) a operare, nei confronti degli altri soggetti aderenti allo SPID, quale titolare autonomo del trattamento dei dati personali richiesti per il rilascio e la gestione dell’identità digitale.
2. Il Gestore, inoltre, si impegna a collaborare con AgID nell’attività di monitoraggio e controllo, al fine di consentire l’espletamento delle funzioni di vigilanza a norma dell’art. 14-bis, comma 2, lett. i) del CAD; in particolare, si obbliga:
a) a comunicare ad AgID, entro i termini di cui alle modalità attuative o secondo le indicazioni fornite da AgID ai fini delle attività di vigilanza, ogni malfunzionamento o incidente di qualsiasi natura che abbia comportato criticità, anche solo potenziali, alla sicurezza dei propri sistemi, fermo restando l’obbligo di comunicare alle autorità competenti e ad AgID, in conformità alla normativa sul trattamento dei dati personali e sui regimi di identificazione elettronica, con le tempistiche indicate dalle normative di settore, eventuali violazioni di sicurezza che abbiano impatto sui dati personali e/o sul regime di identificazione elettronica notificato ai sensi dell’articolo 9 del Regolamento eIDAS;
b) ad inviare ad AgID, in forma aggregata, i dati da questa richiesti a fini statistici, che possono essere resi pubblici;
c) a trasmettere periodicamente ad AgID i dati aggregati sul servizio erogato, tra cui: dati quantitativi, livelli di servizio (SLA), disservizi;
d) ad inviare ad AgID, a norma dell’art. 7 del Regolamento di accreditamento e vigilanza, ogni ulteriore informazione (dati/documenti) correlata all’espletamento del processo di gestione dei servizi, che AgID consideri necessaria per svolgere le previste attività di vigilanza;
e) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui alla presente Convenzione e a prestare ogni collaborazione necessaria e volta a consentire ai soggetti di cui all’art. 7, comma 1, della presente Convenzione, la verifica sullo stato della sicurezza, sull’efficacia e sulla corrispondenza tra attività autorizzate e servizi resi;
f) ad autorizzare XxXX a comunicare eventuali incidenti di sicurezza agli organismi pubblici nazionali competenti e agli organismi di vigilanza negli altri Stati membri interessati e all’ENISA, qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, ai sensi del regolamento eIDAS;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
g) alle comunicazioni di cui alla precedente lettera a) devono seguire, ogni tre giorni lavorativi, note di aggiornamento fino alla nota di chiusura dell’evento comunicato. In casi di particolare gravità, XxXX può imporre una periodicità inferiore ai tre giorni lavorativi previsti. Le note di aggiornamento contengono quantomeno informazioni sullo stato di analisi dell’evento, eventuali azioni temporaneamente intraprese al fine di ridurre gli effetti dell’evento e di informare i soggetti affetti dallo stesso, indicando eventuali precauzioni adottabili fino alla risoluzione definitiva. AgID può indicare al Gestore ulteriori azioni da intraprendere.
Art. 3 – Caratteristiche dei servizi offerti dal Gestore
1. Con la firma della presente Convenzione, il Gestore assume l’impegno di fornire agli utenti almeno credenziali di livello 1 e 2, così come descritte dall’art. 6, comma 1, lett. a) e b) del DPCM e dagli artt. 2 e 15 del Regolamento recante le modalità attuative per la realizzazione dello SPID.
2. Il Gestore si impegna a garantire almeno una procedura finalizzata al rilascio a titolo gratuito delle identità digitali SPID con credenziali di livello 1 e 2 a tutti gli utenti persone fisiche che ne facciano richiesta per uso non professionale. Per “servizi non professionali” si intendono i servizi destinati ai soggetti che agiscono con finalità non riferibili all’attività lavorativa eventualmente svolta. Tale gratuità è riferita alla possibilità di ricevere un’identità digitale con il solo servizio base connesso nelle modalità prescelte dal singolo Gestore. Il Gestore è libero di definire modalità di rilascio alternative anche a pagamento.
3. Il Gestore si impegna a fornire agli utenti servizi che rispettino i livelli minimi definiti dall’Allegato 3 alla presente Convenzione.
4. Il Gestore si impegna, altresì, a fornire i servizi di autenticazione ai fornitori di servizi pubblici o privati aderenti allo SPID, percependo dai privati fornitori di servizi un compenso commisurato ai corrispettivi concordati ai sensi dell’art. 15, comma 3, del DPCM 24 ottobre 2014, il tutto come meglio precisato nell’Addendum e nel Disciplinare.
5. AGID, sentiti i Gestori, potrà, con cadenza annuale, proporre agli stessi modifiche o revisioni al Tariffario (all. 4) eventualmente avvalendosi del supporto di un soggetto terzo.
Art. 4 – Informazione e rapporti con l’utenza
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
1. Il Gestore assicura agli utenti la piena informazione sulle modalità di prestazione dei servizi erogati; in particolare:
a) rende noto agli utenti, tramite appositi avvisi e materiale informativo chiaro e facilmente leggibile, le condizioni economiche e tecniche per l’erogazione dei servizi, in conformità con i regolamenti attuativi adottati da AgID;
b) fornisce adeguata informazione sul trattamento dei dati personali richiesti per il rilascio e la gestione dell’identità digitale, ai sensi degli artt. 12 e ss. del GDPR;
c) pubblica gli esiti delle verifiche compiute sul rispetto dei livelli di servizio riportati nell’allegato 3 alla presente Convenzione;
d) fornisce adeguata informazione agli utenti in merito a ogni eventuale variazione delle modalità di erogazione del servizio;
e) cura la pubblicazione di testi riportanti gli atti che disciplinano l’erogazione dei servizi e che regolano i rapporti con gli utenti. Le modificazioni che si renderanno successivamente necessarie saranno inserite nei testi esistenti e saranno adeguatamente divulgate;
f) predispone appositi strumenti di informazione, tramite l’attivazione di linee di comunicazione telefoniche e telematiche, di cui verifica periodicamente il buon funzionamento, anche con riferimento alla protezione dei dati personali e in conformità con i regolamenti attuativi adottati da AgID;
g) comunica all’utente l’intervenuta sospensione o revoca dell’identità digitale.
2. Il Gestore fornisce adeguata informazione agli utenti circa le modalità giuridiche e tecniche di espletamento dei servizi e consente l’accesso alle informazioni che riguardano i servizi forniti e contenute nel proprio sistema informativo, in conformità con quanto previsto nei regolamenti SPID.
3. Il Gestore informa tempestivamente gli utenti in merito alle decisioni che li riguardano, unitamente alle relative motivazioni nonché sulla contestuale alla contestuale possibilità di presentare un reclamo e le relative modalità.
4. Al fine di prevenire il contenzioso, il Gestore si impegna ad applicare la procedura di conciliazione, di cui al successivo art. 5, comma 1, lett d). Della stessa procedura il Gestore darà ampia informazione agli utenti, segnalando l’obbligo di farvi ricorso.
5. Il Gestore si impegna a fornire agli utenti con modalità semplici e chiare le seguenti informazioni:
a) l’ambito e le modalità di utilizzo dell’identità digitale SPID e le informazioni trattate per consentirne l’utilizzo, anche con riferimento al trattamento dei dati personali;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
b) come devono essere gestite le credenziali di accesso o i dispositivi di autenticazione (es. indicazioni per la corretta conservazione, rischi derivanti dall'eventuale condivisione di credenziali e associati al loro eventuale furto o smarrimento);
c) eventuali segnali che possano indicare una possibile violazione dell’identità digitale o un uso improprio delle credenziali;
d) i rischi associati al furto di identità e le contromisure da adottare;
e) informazione in merito ai dati personali richiesti dal fornitore di servizi per l’accesso allo specifico servizio selezionato dall’utente;
f) le specifiche modalità con cui l’utente può modificare, aggiornare o cancellare i propri dati personali nell’ambito dello SPID ovvero chiedere la sospensione o la revoca della propria identità digitale;
g) l’esistenza del sistema che consente all’utente di ricevere gratuitamente un avviso di ogni avvenuto utilizzo delle credenziali di accesso ai sensi dell’art. 18 del Regolamento recante le modalità attuative per la realizzazione dello SPID. Tale avviso deve essere inviato anche nel caso di utilizzo delle credenziali al fine del rilascio di altra identità digitale.
Art. 5 – Compiti dell’Agenzia per l’Italia Digitale
1. L’AgID svolge i compiti indicati all’art. 4 del DPCM, effettuando, in particolare, le seguenti attività:
a) gestisce l’accreditamento dei Gestori dell’identità digitale e dei gestori di attributi qualificati nonché l’adesione dei Fornitori di Servizi, stipulando con essi apposite convenzioni;
b) cura l’aggiornamento del registro SPID e vigila sull’operato dei soggetti aderenti allo SPID, anche con possibilità di conoscere, nei casi previsti dal DPCM 24 ottobre 2014 e tramite il Gestore, i dati identificativi dell’utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
d) al fine di garantire all’utente, nelle controversie che dovessero insorgere con i soggetti aderenti al circuito SPID, una specifica tutela mediante la figura del difensore civico per il digitale prevista dal CAD ovvero mediante apposito organismo di conciliazione da individuarsi, l’AgID, sentite le Associazioni dei consumatori e i Gestori, definisce, entro il mese di giugno 2023, la procedura di conciliazione che i Gestori dovranno applicare al fine di prevenire il contenzioso con l’Utente.
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
2. L’AgID, fermo restando quanto previsto dal successivo art. 7, nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche sulla base dei dati aggregati forniti dal Gestore sullo SPID;
b) riceve da tutti i soggetti di cui all’art. 3, comma 1, del DPCM le segnalazioni di malfunzionamenti, ivi compresi i disservizi o incidenti di sicurezza, relativi all’utilizzo delle identità digitali;
c) trasmette ai soggetti di cui all’art. 3, comma 1, del DPCM ogni informazione rilevante per la propria attività;
d) effettua controlli presso le sedi amministrative e operative dei soggetti pubblici e privati che partecipano a SPID ai sensi dell’articolo 64 del CAD;
e) richiede ai Gestori atti e documenti, convoca riunioni con gli amministratori e i dirigenti degli stessi;
f) verifica l’attuazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
g) segnala al Gestore le eventuali difformità riscontrate;
h) valuta l’adeguatezza delle procedure di reclamo e delle misure di ristoro attuate nel caso di pregiudizio arrecato all'utente;
i) controlla l’esattezza, la completezza e la comprensibilità delle comunicazioni che il Gestore rende al pubblico;
j) promuove l’adozione delle misure dirette alla semplificazione del rapporto tra il Gestore e gli utenti;
k) acquisisce dati aggregati e informazioni anonime sul gradimento degli utenti;
l) rende pubblici annualmente i risultati del proprio lavoro.
Art. 6 – Valutazione della qualità dei servizi erogati
1. Entro il 31 marzo di ciascun anno, il Gestore predispone una relazione sui risultati conseguiti nel precedente esercizio, che sottopone all’AgID per le relative valutazioni; la relazione tra l’altro:
a) contiene un’analisi dei risultati conseguiti in rapporto agli standard di servizio stabiliti per l’esercizio in questione;
b) definisce gli standard di servizio per l’esercizio in corso in rapporto anche ai risultati conseguiti nell’esercizio oggetto di relazione;
c) descrive le ragioni dell’eventuale inosservanza degli standard di servizio e dei rimedi predisposti;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
d) indica i criteri direttivi a cui il Gestore si atterrà nella redazione dei piani di miglioramento progressivo degli standard di servizio.
2. Il Gestore acquisisce periodiche valutazioni degli utenti sulla qualità del servizio reso, i cui risultati – anonimi e pubblicati in un’apposita sezione della suddetta relazione – assumono particolare rilievo allo scopo di identificare le misure idonee ad accrescere l’efficienza dei servizi e il raggiungimento degli obiettivi di pubblico interesse.
3. Ai fini di una valutazione diretta della qualità dei servizi resi dal Gestore, l’AgID svolge, a campione, apposite verifiche sulla loro qualità ed efficacia, in conformità ai criteri determinati nella relazione che accompagna gli standard, prevista dal presente articolo.
Art. 7 – Vigilanza
1. AgID esercita i propri poteri di vigilanza e sanzionatori in conformità a quanto previsto dagli artt. 14-bis, comma 2, lett. i) e 32-bis del CAD, dall’art. 12, comma 4, del DPCM e dal relativo Regolamento di Vigilanza, dalla normativa comunque applicabile, nonchè dalla presente Convenzione.
2. Le modalità per la vigilanza e per l’esercizio del potere sanzionatorio sono indicate nel suddetto Regolamento, pubblicato sul sito web istituzionale dell’AgID. Detto Regolamento disciplina le modalità di esecuzione dei procedimenti di verifica correlati all’attività di vigilanza e di irrogazione delle sanzioni nei confronti dei soggetti vigilati.
3. Nell’ambito dell’attività di vigilanza, AgID esegue verifiche documentali e/o attività ispettive con propri incaricati, con l’eventuale collaborazione di soggetti terzi o Autorità dalla stessa incaricati. Il Gestore s’impegna a trasmettere i dati e documenti richiesti, a consentire l’accesso ai propri locali a tali soggetti e a fornire agli stessi tutto il supporto necessario per l’esecuzione delle attività di verifica.
Art. 8 – Oneri della Convenzione
1. Il Gestore si impegna a riconoscere all’AgID il contributo necessario alla copertura dei costi sostenuti e connessi alla gestione delle attività di accreditamento, così come previsto dall’art. 4, comma 1, lett. a) del DPCM.
2. L’ammontare di tale contributo verrà definito, annualmente, entro il mese di aprile con Determinazione del Direttore Generale dell’AgID, in base a quanto previsto all’art. 9 del
Regolamento recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale ai sensi dell’art. 4, comma 1, lettera a) DPCM. L’importo del contributo di cui al
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
precedente comma 1 non potrà in ogni caso superare l’importo una tantum di euro 15.000 per l’accreditamento e l’importo annuo di euro 8.000 per la vigilanza.
3. Il contributo, determinato come innanzi descritto, dovrà essere versato ad AgID nei 60 giorni successivi alla comunicazione del rendiconto attraverso il sistema pagoPA, seguendo le istruzione che verranno indicate in Determinazione di cui al precedente comma 2.
Art. 9 – Protezione dei dati personali nelle attività di rilascio e gestione dell’identità digitale.
1. Il Gestore si impegna a trattare i dati personali richiesti per il rilascio e la gestione dell’identità digitale nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali e dei provvedimenti del Garante per la protezione dei dati personali, sulla base giuridica e per le finalità di cui all’art. 64 del CAD e all’art. 2, comma 2, del DPCM.
Art. 10 – Risoluzione della Convenzione. Cessazione, subentro, sospensione e revoca dell’attività del Gestore. Risarcimento del danno.
1. Ferme restando le cause di risoluzione di cui all’art. 9 dell’Addendum, in caso di irrogazione della sanzione di cui all’art. 32-bis del CAD, concernente la cancellazione del Gestore dall’elenco pubblico (Registro SPID), l’AgID ha diritto di dichiarare risolta ipso jure la presente Convenzione.
2. Nel caso in cui il Gestore cessi la propria attività la presente Convenzione è risolta ipso jure.
3. Sono altresì causa di risoluzione ipso jure della Convenzione:
a) l’inosservanza, da parte di ciascun Gestore, dell’obbligo di non discriminazione del richiedente l’identità digitale SPID;
b) l’inosservanza, da parte di ciascun Gestore, dell’obbligo di non discriminazione dei fornitori di servizi.
4. La comunicazione di intervenuta risoluzione dovrà essere inviata da AgID per iscritto a mezzo PEC ai referenti individuati nella Convenzione e dovrà contenere un congruo termine, a favore del Gestore, comunque non inferiore a giorni 60, per la conseguente comunicazione agli utenti e per tutti gli adempimenti connessi alla cessazione della propria attività nell’ambito dello SPID e, comunque, nel rispetto delle eventuali tempistiche di comunicazione e adeguamento imposte al Gestore dalle normative di settore vigenti.
5. In caso di risoluzione della Convenzione, il Gestore dovrà concordare con XxXX le modalità e la procedura di uscita dal circuito SPID.
6. In attuazione di quanto previsto dall’art. 12 del DPCM e nel rispetto della normativa in materia di protezione dei dati personali, si deve provvedere ai seguenti adempimenti:
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
a) cessazione: il Gestore comunica all’AgID e agli utenti a cui ha attribuito l’identità digitale l’intenzione di cessare la propria attività almeno sessanta giorni prima della data di cessazione, indicando i Gestori sostitutivi e le modalità tecniche e operative per il trasferimento delle identità digitali, nel rispetto delle indicazioni fornite dall’Agenzia,;
b) subentro: il Gestore sostitutivo, previo invio all’AgID della dichiarazione di accettazione, recepimento di eventuali prescrizioni dell’Agenzia in ordine alle modalità del trasferimento e previa acquisizione del consenso al subentro da parte dell’utente, subentra nella gestione delle identità digitali rilasciate dal Gestore cessato e nella conservazione delle informazioni di cui all’art. 7, comma 8, del DPCM, corredate dalle opportune asserzioni informatiche;
c) nel caso in cui, a seguito della cessazione dell’attività da parte di un Gestore o della revoca del suo accreditamento, nessun altro Gestore è disponibile a subentrare con le modalità di cui alla lett. b), l’Agenzia, con determinazione del direttore generale recante anche prescrizioni in ordine alle modalità del trasferimento, provvede a ridistribuire le identità digitali rilasciate dal Gestore cessato o revocato tra tutti gli altri Gestori che subentrano nella relativa gestione in misura proporzionale alla ripartizione percentuale, tra gli stessi, di tutte le identità SPID rilasciate alla data della cessazione o della revoca;
d) sospensione e revoca dell’attività dei Gestori: l’AgID, previo accertamento della violazione delle disposizioni di cui al DPCM e dei Regolamenti attuativi adottati ai sensi dell’art. 4 del medesimo DPCM, può disporre la sospensione dell’attività di attribuzione di identità digitali per un periodo minimo di un mese e massimo di un anno o, nei casi più gravi individuati all’art. 32-bis, commi 1 e 2 del CAD e nei termini ivi indicati, la revoca dell’accreditamento del Gestore dell’identità digitale, tramite cancellazione dall’elenco dei Gestori SPID. In casi di particolare gravità e urgenza, in particolare ove vengano meno uno o più requisiti previsti per l’accreditamento, AgID può disporre la sospensione immediata dei servizi erogati, disponendo altresì le misure necessarie per informare gli utenti.
7. In caso di revoca dell’accreditamento del Gestore, si applicano le disposizioni relative alle cessazioni di cui al presente articolo.
8. Ai sensi dell’art. 30 del CAD, il Gestore, che nello svolgimento della sua attività cagiona danno ad altri, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno.
Art. 11 – Durata, modifiche e integrazioni
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
1. La presente Convenzione ha durata quinquennale a decorrere dal suo perfezionamento e si rinnova tacitamente per un periodo di pari durata, salvo espressa disdetta formalizzata a mezzo PEC dal Gestore o dall’AgID entro i tre mesi antecedenti alla scadenza.
2. Il Gestore, che non intende rinnovare la Convenzione, è obbligato agli adempimenti di cui al precedente art. 10, comma 0, xxxx. x) x xxxx. x).
3. La presente Convenzione è unica per tutti i Gestori. Modifiche e/o integrazioni saranno possibili, una volta che sia stato acquisito, ove ne ricorrano i presupposti e ove sia ritenuto necessario da AgID, il parere del Garante per la protezione dei dati personali ed eventualmente di altre Autorità competenti, in presenza di accordo delle parti oltre che in tutti i casi in cui sia necessario adeguarne il contenuto al mutamento della normativa e dei Regolamenti adottati da AgID.
Art. 12 – Figure di riferimento per l’attuazione della Convenzione
1. Sia l’AgID che il Gestore nominano un proprio Referente, ai fini della corretta applicazione della presente Convenzione e della gestione delle relative comunicazioni.
2. AgID pubblica sul proprio sito istituzionale l’elenco dei Referenti di cui al precedente comma e i relativi recapiti di Posta Elettronica Certificata (PEC).
3. Le parti si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei Referenti SPID.
4. Le Parti danno atto di essersi reciprocamente comunicate le informazioni sul trattamento dei dati personali dei rispettivi Referenti e di altro personale eventualmente coinvolto nelle interlocuzioni necessarie per l’attuazione della presente Convenzione.
Art. 13 – Disposizioni finali
1. La presente Convenzione produce i suoi effetti a decorrere dalla data di sottoscrizione da parte dell’AgID.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
3. In relazione a qualunque controversia che insorga tra le parti in ordine all’interpretazione, esecuzione e risoluzione della presente Convenzione, le parti si impegnano a ricercare un componimento bonario della vertenza prima di adire i competenti organi giurisdizionali. Sono
fatte salve le disposizioni normative, sostanziali e processuali, relative ai poteri sanzionatori dell’AgID.
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID.
Firmato digitalmente da AgID Firmato digitalmente dal Gestore