O=PRESIDENZA CONSIGLIO DEI MINISTRI
Digitally signed by XXXXXX XXXX X=IT
O=PRESIDENZA CONSIGLIO DEI MINISTRI
il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, Xxxx. Xxxxxxxx Xxxxxx, nominato con DPCM del 18 marzo 2020, con sede in Roma, nel seguito “Commissario”,
e
la Bending Spoons S.p.A., con sede legale in Milano, Corso Como 15, 20154, iscritta al registro delle imprese di Milano al n. 2056926, codice fiscale e partita IVA n. 08931860962, PEC xxxxxxxxxxxxx@xxxxxxxxx.xx, legalmente rappresentata da Xxxxxxxxx Xxxxxxxxxx, in qualità di Presidente del Consiglio di Amministrazione, il quale dichiara di essere munito di tutti poteri previsti dallo statuto e dalla legge per la stipula del presente contratto, nel seguito “Società” e, congiuntamente con il Commissario, “Parti”;
PREMESSO CHE
il 30 gennaio 2020, il Direttore generale dell’Organizzazione mondiale della sanità - OMS ha dichiarato il focolaio internazionale da SARS-CoV-2 denunciato dalle autorità sanitarie cinesi un’emergenza di sanità pubblica di rilevanza internazionale (Public Health Emergency of International Concern - PHEIC), come sancito nel Regolamento sanitario internazionale (International Health Regulations, IHR, 2005);
in seguito al diffondersi del virus sul territorio nazionale con il conseguente accertamento di casi di contagio e di diffusione di malattia denominata dall’OMS COVID-19, in data 31 gennaio 2020 il Consiglio dei ministri ha dichiarato lo stato di emergenza sanitaria per l’epidemia da nuovo coronavirus e attivato gli opportuni strumenti normativi precauzionali;
nei mesi successivi, a seguito del diffondersi della pandemia, con successivi provvedimenti il Consiglio dei ministri ha adottato plurimi provvedimenti contenenti misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19, estese a tutto il territorio nazionale, con i quali sono stati limitati gli spostamenti e in parte le attività dei cittadini;
il contact tracing o tracciatura dei contatti è una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive e rappresenta un elemento importante all’interno di una strategia sostenibile post-emergenza e di ritorno alla normalità;
il contact tracing, infatti, può aiutare ad identificare individui potenzialmente infetti prima che emergano sintomi e, se condotto in modo sufficientemente rapido, può impedire la trasmissione successiva dai casi secondari;
l’uso della tecnologia in ambito di contact tracing appare in grado di dare un contributo rilevante per un tracciamento di prossimità molto più efficiente e rapido di quello tradizionale, che non sempre si rivela efficace e comporta maggior dispendio di risorse;
nell’ambito dell’iniziativa “Innova per l’Italia” promossa dal Ministro dello Sviluppo economico, dal Ministro della Salute e dal Ministro per l’innovazione tecnologica e la digitalizzazione, è stata indetta il 23 marzo 2020 una fast call for contribution, chiusa il 26 marzo 2020, rivolta a privati, società ed enti, diretta a individuare le migliori soluzioni digitali e tecnologiche disponibili per il monitoraggio “attivo” del rischio di contagio, in vista dell’adozione, a livello nazionale, di tali soluzioni e tecnologie, al fine di migliorare i risultati in termini di monitoraggio e contrasto alla diffusione del COVID-19;
il Ministro per l’innovazione tecnologica e la digitalizzazione, in data 31 marzo 2020, ha nominato il “Gruppo di lavoro data-driven per l’emergenza COVID-19” con il compito di effettuare attività di analisi
1
e studio degli impatti del fenomeno epidemiologico in atto, nonché di procedere in tempi rapidi alla valutazione delle proposte formulate dai partecipanti alla fast call for contribution, al fine di selezionare la proposta più efficace e idonea ad essere implementata in tempi rapidi a livello nazionale per la realizzazione di un sistema nazionale di contact tracing digitale;
all’esito delle valutazioni effettuate dal Gruppo di lavoro e comunicate al Ministro per l’innovazione tecnologica e la digitalizzazione, la soluzione indicata come preferibile è risultata essere quella denominata “Immuni”, proposta dalla società Bending Spoons S.p.a.;
la soluzione è conforme al modello europeo delineato dal Consorzio PEPP-PT e garantisce il rispetto della privacy, potendosi fondare su base volontaria e libera adesione; in estrema sintesi, essa consiste nel rilascio di una “app mobile” che, sfruttando la tecnologia bluetooth LE, consente di tenere traccia e conservare nello smartphone dell’utente, in modo sufficientemente anonimo, durata e tipo di contatti ravvicinati con altri device sui quali è installata la stessa applicazione; solo ove l’autorità sanitaria accerti la positività al virus (o negli altri casi previsti dai protocolli sanitari), i dati conservati nello smartphone del contagiato, attraverso un’apposita procedura di sblocco, vengono acquisiti dal sistema di back-end, che provvede ad avvisare, sempre tramite l’app, tutti gli utenti che in un periodo di tempo definito sono venuti in contatto con il contagiato, in modo tale da poter attuare adeguate misure sanitarie di prevenzione; l’app fornisce anche una funzionalità di diario clinico, che consente all’utente di tenere traccia dei propri dati clinici;
il Ministro della salute e il Ministro per l’innovazione tecnologica e la digitalizzazione, in data 10 aprile 2020, hanno comunicato al Presidente del Consiglio dei ministri il risultato delle valutazioni del Gruppo di lavoro, unitamente a documento contenente una possibile proposta di implementazione della soluzione;
con nota del 10 aprile 2020, n. 0004553 P-1.1, nel condividere le ragioni manifestate a fondamento dell’utilità della proposta per contrastare l’emergenza sanitaria in atto, anche in ragione della necessità di rapida realizzazione della stessa, il Presidente del Consiglio dei ministri ha chiesto al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, Xxxx. Xxxxxxxx Xxxxxx, di procedere rapidamente, nell’ambito dei poteri conferiti dall’articolo 122 del decreto-legge 17 marzo 2020, n. 18, a valutare le modalità con cui dare attuazione alla proposta di implementazione del sistema di contact tracing digitale, mediante utilizzo della soluzione “Immuni” sviluppata dalla società Bending Spoons S.p.a.;
la società Bending Spoons S.p.a., esclusivamente per spirito di solidarietà e, quindi, al solo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza da COVID-19 in atto, ha manifestato la volontà di concedere in licenza d’uso aperta, gratuita e perpetua, al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19 e alla Presidenza del Consiglio dei ministri, il codice sorgente e tutte le componenti applicative facenti parte del sistema di contact tracing già sviluppate, nonché, per le medesime ragioni e motivazioni e sempre a titolo gratuito, ha manifestato la propria disponibilità a completare gli sviluppi informatici che si renderanno necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale;
la stessa Società ha dichiarato di essere l’esclusiva titolare – fatto salvo quanto diversamente stabilito nel presente Contratto – del diritto d'autore e di proprietà intellettuale sul codice sorgente e le grafiche che intende concedere in licenza al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19 e alla Presidenza del Consiglio dei ministri;
con ordinanza del 16 aprile 2020, al fine di dare avvio alle attività volte alla realizzazione del sistema nazionale di contact tracing digitale, il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, ha disposto di procedere all’acquisizione a titolo gratuito della licenza d’uso sul codice sorgente e di tutte le componenti applicative sviluppate dalla Bending Spoons S.p.a., nonché ad accettare la prestazione d’opera professionale che la stessa società si è dichiarata disposta ad offrire gratuitamente, per la durata di mesi sei dalla sottoscrizione del presente contratto e comunque non oltre il raggiungimento di un totale di 10.000 (diecimila) ore/uomo di attività erogate e rendicontate dalla Società, al Commissario e alla Presidenza del Consiglio dei ministri al fine di ultimare tutti gli sviluppi necessari per la messa in esercizio del sistema nazionale di contact tracing digitale;
tutto ciò premesso e considerato, le Parti
CONVENGONO E STIPULANO QUANTO SEGUE
Art. 1 (Premesse e allegati)
1. Le premesse che precedono e gli allegati formano parte integrante del presente contratto e ne
condizionano l’interpretazione e l’esecuzione.
Art. 2 (Definizioni)
1. Ai fini del presente contratto e salva diversa esplicita indicazione, ai termini riportati in ordine alfabetico è attribuito il significato di seguito indicato:
● “Allegati”: i documenti allegati al presente contratto, che contengono la descrizione del codice sorgente e di tutte le componenti applicative facenti parte del sistema di contact tracing e di diario clinico già sviluppate dalla Società, nonché delle attività che quest’ultima si impegna a svolgere e, nello specifico:
Allegato 1: Descrizione dell’App e delle sue componenti, comprensive del codice sorgente, degli script e degli altri materiali necessari all’installazione in ambiente di sviluppo o di produzione, delle interfacce e delle componenti grafiche, della documentazione finalizzata all’installazione delle dipendenze, alla compilazione e alla messa in funzione, nonché dei dati utilizzati in produzione;
Allegato 2: Attività di ulteriore sviluppo e personalizzazione dell’App; Allegato 3: Attività di assistenza e manutenzione correttiva (debugging); Allegato 4: Atto di designazione del responsabile del trattamento;
● “Attività”: le attività e le prestazioni che la Società si impegna a svolgere e a fornire in esecuzione del presente contratto;
● “Contratto”: il presente contratto stipulato tra le Parti;
● “App”: l’applicazione mobile, come meglio identificata all'Allegato 1, comprensiva dei codici sorgente, software, applicativi, tecnologie, know how, e qualunque altro elemento e componente necessario per il funzionamento del sistema di contact tracing digitale e diario clinico;
● “Gestore”: qualunque società pubblica o qualunque organismo dello Stato al quale il Commissario riserva di affidare, a qualunque titolo, l’integrazione in piattaforme tecnologiche dell’App al fine di renderla fruibile alla cittadinanza ovvero il coordinamento delle attività necessarie per gli ulteriori sviluppi e la finalizzazione dell’App;
● “Regolamento”: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati o GDPR).
Art. 3
(Oggetto del Contratto, dichiarazioni e obblighi della Società)
1. La Società dichiara di avere sviluppato in proprio e di essere pertanto l’unica ed esclusiva titolare del diritto d'autore e di ogni altro diritto di proprietà intellettuale sull’App e sulla soluzione tecnologica meglio descritta nell’Allegato 1. Dichiara altresì che la soluzione di contact tracing realizzata mediante lo sviluppo dell’App non è sottoposta a brevetto o a qualsiasi altro diritto di privativa. Precisa infine che per il funzionamento dell’App vengono utilizzate anche componenti software open source di terzi delle quali la Società non è esclusiva titolare e che, pertanto, non sono oggetto della licenza di cui al comma 2 e sono soggetti ai rispettivi termini di licenza.
2. La Società, per spirito di solidarietà e, quindi, al solo ed esclusivo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza da COVID-19 in atto e contribuire alle azioni di contenimento che il Governo intende porre in essere, concede la licenza d’uso aperta, gratuita, perpetua e irrevocabile sull’App di cui al comma 1 e su tutte le relative componenti come descritte nell’Allegato 1. In forza della licenza concessa, la Presidenza del Consiglio dei ministri acquista il diritto di eseguire e utilizzare liberamente e senza alcun vincolo il codice sorgente e tutte le componenti del sistema di contact tracing, il diritto di esaminare e studiare il funzionamento del software, il diritto di modificarlo in modo da adattarlo alle proprie necessità, il diritto di ridistribuire pubblicamente copie del codice sorgente e di tutte le sue componenti anche secondo quanto previsto dall’articolo 69 del decreto legislativo 7 marzo 2005, n. 82 (codice dell’amministrazione digitale), il diritto distribuire pubblicamente le versioni modificate del codice sorgente e delle sue componenti. Ferma restando la irrevocabilità della licenza e quanto innanzi previsto, l’utilizzo dell’App è disciplinato anche dalle condizioni e pattuizioni previste dalla Mozilla Public License 2.0.
3. La concessione della licenza avviene a titolo gratuito e l’esercizio dei diritti e delle facoltà da essa derivanti non potranno essere in alcun modo limitati da successive decisioni della Società, ivi inclusa quella di brevettare l’App.
4. La Società si impegna e obbliga nei confronti della Presidenza del Consiglio dei ministri, che tramite il Commissario accetta, a provvedere, a titolo gratuito e per le stesse ragioni di cui al comma 2, all’ulteriore sviluppo, “a regola d’arte” e con diligenza professionale, dell’App e di tutte le sue componenti e alle attività di test, collaudo, assistenza e manutenzione correttiva, secondo quanto previsto dagli Allegati 2 e 3 e con le modalità previste dall’articolo 5 del presente Contratto, al fine di
consentire il rilascio in produzione del sistema nazionale di contact tracing digitale, la messa a disposizione dell’App ai cittadini e la realizzazione degli interventi correttivi necessari al pieno funzionamento del sistema e ulteriori migliorie e personalizzazione. Le predette attività cesseranno in ogni caso, salva espressa e consensuale proroga, decorsi sei mesi dalla sottoscrizione del presente Contratto e comunque al raggiungimento di un totale di 10.000 (diecimila) ore/uomo di attività erogate e rendicontate dalla Società.
5. La Società provvede alle attività di cui al comma 4 con risorse umane e tecniche proprie o mediante collaboratori e consulenti esterni, ove necessario, e garantisce la competenza e professionalità dei propri dipendenti e collaboratori. Il Commissario e la Presidenza del Consiglio dei ministri rimangono estranei a qualsiasi rapporto che la Società dovesse porre in essere con soggetti terzi per garantire l’adempimento degli obblighi di cui al comma 4.
Art. 4
(Assenza di corrispettivo e diritti della Presidenza del Consiglio dei ministri)
1. La licenza d’uso prevista nel presente contratto e la realizzazione delle attività previste dall’articolo 3 sono a titolo gratuito e non è previsto alcun corrispettivo o prezzo, di qualsiasi natura e genere, a carico del Commissario o della Presidenza del Consiglio dei ministri, né è previsto alcun vantaggio o utilità anche di natura non patrimoniale in favore della Società.
2. È escluso che la Società possa sfruttare la collaborazione con il Commissario e la Presidenza del Consiglio dei ministri per scopi pubblicitari o promozionali o associare il proprio logo o marchio alla Presidenza del Consiglio dei ministri.
3. È altresì escluso che l’App possa contenere il marchio o messaggi, diretti o indiretti, volti a pubblicizzare le attività della Società, fermo restando che del contributo dato dalla Società allo sviluppo del sistema nazionale di contact tracing digitale verrà fatta menzione nelle informazioni accessibili tramite l’App o dal sito informativo ad essa dedicato.
4. Il Commissario e la Presidenza del Consiglio dei ministri, secondo quanto previsto dall’articolo 3, rimangono liberi di esercitare le facoltà discendenti dalla concessione della licenza d’uso con le modalità che riterranno più opportune; è quindi escluso che il Commissario e la Presidenza del Consiglio dei ministri, per effetto della sottoscrizione del presente Contratto, assumano l’obbligo di utilizzare l’App quale strumento di contrasto e di contenimento della diffusione del COVID-19; la messa in esercizio della stessa e del sistema nazionale di contact tracing digitale e la durata di utilizzo della stessa sono pertanto rimesse all’esclusiva decisione del Commissario e della Presidenza del Consiglio dei ministri, senza che, in dipendenza delle determinazioni che saranno assunte al riguardo, possano derivare obblighi o responsabilità a carico del Commissario o della Presidenza del Consiglio dei ministri e in favore della Società.
Art. 5
(Modalità di sviluppo del sistema nazionale di contact tracing digitale)
1. La Società prende atto che la realizzazione del sistema nazionale di contact tracing digitale sarà affidata, oltre che alla Società secondo quanto previsto dall’articolo 3, comma 4, a uno o più soggetti, tra i quali società in house della pubblica amministrazione o società pubbliche (di seguito “Gestori”),
ovvero soggetti privati prestatori di servizi, che forniranno servizi e piattaforme per l’integrazione e la messa in esercizio dell’App; prende altresì atto che il Commissario affiderà il coordinamento e la gestione tecnica di tutti gli interventi e sviluppi informatici necessari a un Capo Progetto, che opererà in raccordo con il Program Manager Officer che sarà nominato per coordinare tutte le attività necessarie allo sviluppo del progetto.
2. La Società si impegna a cooperare con il Capo Progetto e con il Gestore o i Gestori nella definizione dei requisiti funzionali, tecnici e di sicurezza del sistema nazionale di contact tracing digitale e alla redazione della relativa documentazione, tenendo conto delle indicazioni che saranno fornite dalle Autorità sanitarie e dallo stesso Commissario, coadiuvato nel progetto da un Comitato tecnico. Si impegna altresì a cooperare nella redazione del piano di lavoro, descrittivo di tutti gli interventi e sviluppi informatici necessari per la messa in esercizio del sistema.
3. La Società si impegna a svolgere le attività previste dall’articolo 3, comma 4, nel rispetto dei requisiti
funzionali e tecnici concordati col Capo Progetto e dei tempi concordati nel piano di lavoro.
4. La Società si impegna ad attenersi a tutte le prescrizioni che saranno impartite dal Capo Progetto o, nell’ambito delle competenze loro attribuite, dal Gestore o dai Gestori, fermo e impregiudicato che tutte le scelte relative alle modalità di sviluppo dal punto di vista tecnico, alle tecnologie usate, all’esperienza utente e alle interfacce grafiche dell’App restano rimesse alle decisioni della Società, comunque previamente condivise con il Capo Progetto.
Art. 6 (Garanzie)
1. La Società garantisce e si impegna a manlevare il Commissario e la Presidenza del Consiglio dei ministri da ogni pretesa, azione o rivendicazione che eventualmente dovesse essere avanzata da terzi per violazione dei diritti d’autore, di proprietà intellettuale o di brevetti in relazione all’utilizzo dell’App o causalmente connesso allo svolgimento di tutto o parte delle attività di sviluppo che la Società si è impegnata ad effettuare. Resta inteso che la Società non sarà in alcun modo responsabile per l'attività posta in essere dai Gestori o altre terze parti coinvolte nel progetto.
Art. 7
(Responsabili per l’esecuzione del Contratto e comunicazioni tra le parti)
1. Ai fini dell’esecuzione del presente contratto, la Società nomina Xxxx Xxxxxxx, quale responsabile per l’esecuzione del Contratto e proprio rappresentante, autorizzato a ricevere tutte le comunicazioni inerenti al presente Contratto e al quale conferisce il potere di manifestare la volontà della Società.
2. Il Commissario si riserva di nominare il Capo Progetto responsabile per l’esecuzione del presente Contratto e di indicare alla Società uno o più Gestori, e i relativi responsabili, che concorreranno alla realizzazione del progetto per la realizzazione del sistema nazionale di contact tracing digitale.
3. Tutte le comunicazioni tra le Parti e i loro responsabili e rappresentanti relative all’esecuzione del
presente Contratto possono essere effettuate anche per mezzo di semplice email ordinaria.
Art. 8
(Tutela dei dati personali e della riservatezza)
1. Il titolare del trattamento dei dati personali trattati nella gestione e utilizzo dell’App dopo il rilascio in esercizio, ivi inclusi quelli relativi agli utilizzatori dell’App, è la Presidenza del Consiglio dei Ministri o altra amministrazione pubblica a tal fine designata.
2. Qualora la Società, per le sole finalità di esecuzione delle Attività di cui al presente Contratto dovesse accedere o altrimenti trattare informazioni qualificabili come dati personali ai sensi del Regolamento, e in particolare i dati personali degli utilizzatori dell’App, lo farà in qualità di responsabile del trattamento, nel pieno rispetto della normativa vigente e ai sensi e alle condizioni, limiti e responsabilità di cui all’Allegato 4.
3. La Società si impegna a fornire al Commissario tutte le informazioni necessarie alla redazione della
valutazione di impatto (DPIA), come descritta all’articolo 35 del Regolamento, sull’App.
4. La Società si impegna altresì a indicare al Commissario il nome e i dati del proprio responsabile della protezione dei dati (DPO), designato ai sensi dell’articolo 37 del Regolamento, entro 10 (dieci) giorni dalla sottoscrizione del presente Contratto. La Società si impegna fin da ora a che il proprio responsabile della protezione dei dati personali collabori e si tenga in contatto e prontamente a disposizione per tutta la durata del Contratto con il responsabile della protezione dei dati dell’Amministrazione e del Gestore o dei Gestori.
5. La Società si impegna altresì fin da ora a prestare piena collaborazione al Commissario e al Gestore o ai Gestori nella redazione della valutazione d’impatto finale redatta dal titolare del trattamento e di qualsivoglia aggiornamento alla stessa a seguito delle Attività di personalizzazione, debugging, evolutiva e correttiva di cui al presente Contratto, nonché, ove richiesto dal Commissario, nelle interlocuzioni con il Garante per la protezione dei dati personali.
6. La Società s’impegna a garantire la massima riservatezza e a non divulgare a terzi informazioni o dati relativi al sistema nazionale di contact tracing digitale o di qualsiasi altra natura dei quali verrà a conoscenza in dipendenza dello svolgimento delle Attività oggetto del Contratto. L’obbligo di riservatezza si intende esteso anche al periodo successivo all’esecuzione del presente Contratto.
7. La Società riconosce che tutte le informazioni, concetti, idee, procedimenti, metodi e/o dati tecnici di cui il personale utilizzato verrà a conoscenza nello svolgimento del servizio debbono essere considerati riservati. A tal fine, la Società si obbliga ad adottare con i propri dipendenti e consulenti tutte le cautele necessarie a tutelare la riservatezza di tali informazioni e della relativa documentazione.
8. La Società resta libera di comunicare a terzi informazioni attinenti alle componenti dell’App da essa sviluppate e al funzionamento delle stesse, senza alcun riferimento a dati personali e nel rispetto in ogni caso degli obblighi derivanti dal Regolamento e dal decreto legislativo 30 giugno 2003, n. 196.
Art. 9
(Controlli ed efficacia del Contratto)
1. Ai sensi dell’articolo 122, comma 8, del decreto-legge 17 marzo 2020, n. 18, il presente Contratto è sottratto al controllo della Corte dei Conti ed è immediatamente e definitivamente efficace ed esecutivo.
Art. 10
(Modifiche al presente Contratto)
1. Qualunque modifica al presente Contratto dovrà essere concordata e approvata per iscritto tra le Parti.
Art. 11
(Foro competente e clausole finali)
1. Per qualsiasi controversia derivante dall’interpretazione o esecuzione del presente Contratto, il Foro territorialmente competente in via esclusiva è quello di Roma.
2. L’eventuale tolleranza di comportamenti posti in essere dalla Società in violazione delle disposizioni contenute nel presente Contratto non costituisce rinuncia ai diritti derivanti dalle disposizioni violate né al diritto di esigere l’esatto adempimento delle obbligazioni e il rispetto di tutte le condizioni previste nel contratto stesso.
3. Per tutto quanto non previsto nel presente Contratto si applicano le norme vigenti in materia.
Il Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid - 19 Xxxx. Xxxxxxxx Xxxxxx (x.xx digitalmente) | Il Presidente del Consiglio di Amministrazione di Bending Spoons S.p.A Xxxx. Xxxxxxxxx Xxxxxxxxxx (x.xx digitalmente) |
Allegato 1
Descrizione dell’App e delle sue componenti
1. Descrizione dell’App e delle componenti oggetto di licenza
L’obiettivo di Xxxxxx è aiutare a identificare e isolare le persone potenzialmente positive al
COVID-19, siano esse asintomatiche o con sintomi leggeri, in modo veloce e scalabile.
Immuni fa ciò attraverso un’App con due funzionalità complementari:
● Un sistema di tracciamento dei contatti (non georeferenziati), basato su tecnologia Bluetooth Low Energy
● Un diario clinico
Le componenti di Immuni oggetto di licenza sono le seguenti:
● Codice sorgente App Android in linguaggio Kotlin/Java
● Codice sorgente App iOS in linguaggio Swift
● Codice sorgente server in linguaggio Python
● Codice infrastruttura Google Cloud Platform in linguaggio Terraform
● Documentazione e script atti a effettuare il deployment del server
● Codice sorgente del sito di corredo
● Design grafici dell’icona e delle schermate delle app Android e iOS, nonché dei relativi
materiali illustrativi necessari alla pubblicazione su Google Play e App Store
● Design grafici del sito di corredo
● Testi contenuti nell’App e sul sito di corredo
● Documentazione di descrizione (per esempio delle componenti applicative e infrastrutturali) e di supporto a quanto sopra indicato
Si noti che il funzionamento di Immuni richiede ulteriori condizioni standard per un moderno progetto software, quali, a titolo esemplificativo e non esaustivo:
● Account Google Play Developer per distribuire l’App su Google Play
● Account Apple Developer per distribuire l’App sull’App Store
● Account Google Cloud Platform e budget per sostenere i costi relativi all’infrastruttura
● Accettazione dei termini della licenza delle librerie open source di terze parti di cui Immuni fa uso
2. Rischi principali
Immuni è stata progettata per funzionare con deployment su Google Cloud Platform. Bending Spoons S.p.a. sconsiglia vivamente il deployment on premise, che comporterebbe un notevole allungamento dei tempi, una riduzione della protezione dei dati, un peggioramento del tempo di risposta del server e quindi dell’esperienza utente, e una diminuzione della scalabilità.
Bending Spoons S.p.a. segnala inoltre che la funzionalità di Immuni dipende da quanto concesso dalle tecnologie disponibili e che questi limiti sono in larga misura al di fuori del controllo della Società. Per esempio:
● Il sistema operativo iOS pone significative limitazioni al funzionamento continuo di app nel background e al pieno controllo della comunicazione tramite Bluetooth
● Il sistema operativo Android può talvolta terminare le app attive nel background,
causando l’interruzione delle operazioni in atto
Nel contesto delle limitazioni al di fuori del suo controllo, Bending Spoons S.p.a. si impegna a lavorare con la massima professionalità e a investire risorse ingegneristiche di altissimo livello per massimizzare l’efficacia di Immuni.
Si noti che il corretto funzionamento di Immuni richiede un’integrazione con la pubblica amministrazione, per esempio per validare il caricamento al server della lista di contatti recenti per un utente risultato positivo al COVID-19. Bending Spoons S.p.a. non è in grado di garantire i tempi di detta integrazione, essendo essa non sotto il suo pieno controllo.
L’efficacia di Immuni dipende dalla percentuale della popolazione che installerà l’App e la userà correttamente. Bending Spoons S.p.a. non assume la responsabilità di un limitato o sbagliato utilizzo dell’App da parte della popolazione.
In ogni caso, l’App non è stata sviluppata come ausilio diagnostico e non può pertanto essere intesa come dispositivo e trattamento medico. Bending Spoons S.p.a. non rilascia garanzia in caso di eventuale mancata e/o non tempestiva individuazione di persone positive al COVID-19 e i danni derivanti.
Allegato 2
Attività di miglioria e personalizzazione dell’App
1. Descrizione delle attività di miglioria e personalizzazione dell’App
Premesso che gli sviluppi futuri dell’App seguiranno il processo delineato all’art. 5, comma 4,
del Contratto, segue una lista delle migliorie e personalizzazioni più probabili:
● App dedicata per l’operatore sanitario per permettere il caricamento dei dati dell’utente
sul server
● Modifica al sistema di caricamento dei dati dell’utente, sfruttando sistemi di sblocco
diversi da quello attualmente previsto dal modello PEPP-PT
● Ottimizzazione dell’algoritmo di stima del rischio di contagio
● Ottimizzazione della logica di scambio messaggi Bluetooth tra dispositivi
● Eventuale raccolta di dati aggiuntivi per il miglioramento dell’algoritmo di stima di rischio di contagio
● Eventuale adeguamento alle API rilasciate in futuro da Google e Apple per supportare le app di contact tracing
Le tempistiche dipenderanno dalle esatte specifiche decise per ogni attività. Detto ciò, Bending Spoons S.p.a. si impegna a investire la massima professionalità e risorse umane altamente competenti al fine di massimizzare la qualità del risultato e la celerità della realizzazione.
2. Livelli di servizio e di performance garantiti
● Termine per un primo riscontro alla richiesta di miglioria o personalizzazione da parte
dell’Amministrazione: 24 ore
● Numero massimo di richieste di miglioria o personalizzazione valutabili: 2 per settimana
● Termine per una risposta ad una richiesta di miglioria o personalizzazione, inclusiva di stima dei tempi di realizzazione: 5 giorni lavorativi
Allegato 3
Attività di assistenza e manutenzione correttiva (debugging)
1. Descrizione delle attività di assistenza e relativi livelli di servizio
Attività di assistenza (per tutta la durata dell’Atto) | Livello di servizio garantito |
Assistenza afferente la protezione dei dati personali, ivi inclusa: (a) collaborazione nella stesura della valutazione di impatto (DPIA) (b) collaborazione nelle interlocuzioni con il Garante (c) collaborazione con il responsabile della protezione dei dati (DPO) dell’Amministrazione e/o del Gestore | - Primo riscontro della richiesta e conferma presa in carico: entro 48 h, 7 giorni su 7, con immediata fornitura di tempistiche di riscontro/attuazione/output; - Produzione della documentazione richiesta: a seconda dei casi, ma comunque in nessun caso oltre 10 giorni lavorativi, salvo diverso termine concordato con l’Amministrazione o il Gestore |
Assistenza afferente eventuali questioni legali, ivi incluse eventuali pretese di terzi (es. questioni relative alla proprietà intellettuale, alla legittimità, al funzionamento dell’App) | - Primo riscontro della richiesta e conferma presa in carico: entro 48 h, 7 giorni su 7, con immediata fornitura di tempistiche di riscontro/attuazione/output; - Produzione della documentazione richiesta: a seconda dei casi, ma comunque in nessun caso oltre 10 giorni lavorativi, salvo diverso termine concordato con l’Amministrazione o il Gestore |
Assistenza afferente eventuali interrogazioni parlamentari, richieste o questioni a valenza mediatica, giornalistica o di comunicazione | - Reperibilità telefonica, LUN - VEN, 9 - 21 |
Assistenza afferente ad eventuali questioni tecniche o di prodotto | - Primo riscontro della richiesta e conferma presa in carico: entro 48 h, 7 giorni su 7, con immediata fornitura di tempistiche di riscontro/attuazione/output; - Produzione della documentazione richiesta: a seconda dei casi, ma comunque in nessun caso oltre 10 giorni lavorativi, salvo diverso termine concordato con l’Amministrazione o il Gestore |
2. Descrizione delle attività di manutenzione correttiva (debugging) e relativi livelli di servizio
Attività di debugging (per tutta la durata dell’Atto) | Livello di servizio garantito |
Debugging volto alla risoluzione di problemi critici, ossia tali da compromettere in maniera invalidante la funzionalità di Immuni | - Primo riscontro della richiesta e conferma presa in carico: entro 12 h, 7 giorni su 7, con immediata fornitura di tempistiche di riscontro/attuazione/output; - Sarà data la massima priorità alla risoluzione del bug |
Debugging volto alla risoluzione di problemi minori, ossia tali da non compromettere in maniera invalidante la funzionalità di Immuni | - Primo riscontro della richiesta e conferma presa in carico: entro 48 h, 7 giorni su 7, con fornitura di tempistiche di riscontro/attuazione/output, fermo restando che queste potrebbero essere disattese, nel caso sopravvengano altri bug critici che richiedano l’immediata attenzione della Società; - Compatibilmente con la risoluzione di bug critici, sarà data la massima priorità alla risoluzione del bug minore |
Allegato 4
Accordo sul trattamento dei dati personali e atto di designazione del responsabile del trattamento
ai sensi e per gli effetti dell’art. 28 del Regolamento (UE) 2016/679
VISTO l’atto sottoscritto dalla Presidenza del Consiglio dei Ministri, nella persona del Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid - 19 Xxxx. Xxxxxxxx Xxxxxx (di seguito anche solo “Il Commissario” o l'Amministrazione”) e la società Bending Spoons S.p.A, (di seguito la “Società”), di cui il presente accordo rappresenta l’allegato 4 (di seguito anche solo “Atto”);
CONSIDERATO che le attività oggetto del menzionato Atto comportano o possono comportare il trattamento di dati personali, ai sensi del Regolamento (UE) 2016/679 (di seguito anche solo “Regolamento”) nonché del D.Lgs. n. 196/2003 e ss.mm.ii. recante il Codice in materia di protezione dei dati personali (di seguito anche solo il “Codice”);
VISTO, in particolare, l’art. 4, paragrafo 1, n. 7) del Regolamento, che individua il titolare del trattamento ne “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali [...]” e visto altresì l’art. 4, paragrafo 1, n. 8) del Regolamento, che identifica il responsabile del trattamento ne “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;
VISTO l’art. 28, paragrafo 1 del Regolamento, secondo cui “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
CONSIDERATA l’idoneità, alla luce dell’attività istruttoria già svolta, di Bending Spoons Spa rispetto alle garanzie richieste dalla normativa regolamentare europea con riferimento all’adeguatezza delle misure tecniche e organizzative per la tutela dei diritti dell’interessato;
la Presidenza del Consiglio dei Ministri, nella persona del Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid - 19 Xxxx. Xxxxxxxx Xxxxxx
DESIGNA
la società Bending Spoons S.p.A., che accetta - quale Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28 del Regolamento, con riferimento alle attività di cui all’Atto di cui tale designazione costituisce parte integrante e per l’intera durata dello stesso.
Per le attività per le quali l’Amministrazione agisce a sua volta come responsabile del trattamento, la presente nomina deve intendersi quale nomina a sub-responsabile del trattamento ai sensi dell’art. 28 co. 4 del Regolamento.
La Società è autorizzata a trattare i dati personali necessari per l’esecuzione delle attività oggetto dell’Atto e si impegna ad effettuare, per conto dell’Amministrazione, le sole operazioni necessarie per fornire i servizi oggetto dell’Atto, nei limiti delle finalità ivi specificate, nel rispetto del Regolamento e del Codice e delle istruzioni nel seguito fornite.
La Società si impegna a presentare, su richiesta dell’Amministrazione, garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali.
Il tipo di dati personali che la Società è autorizzata a trattare ai sensi del presente atto di designazione sono:
● dati comuni (identificativi e pseudo anonimizzati);
● categorie particolari di dati (ivi inclusi dati relativi allo stato di salute), ad esclusione dei dati giudiziari;
Le categorie di interessati sono:
● utilizzatori dell’App oggetto dell’Atto;
● personale sanitario che interagisce con la predetta App;
● personale in forze (dipendente e non dipendente) all’Amministrazione; e
● personale in forze (dipendente e non dipendente) al Gestore (come definito nell’Atto).
Nell’esercizio delle proprie funzioni, la Società si impegna a:
● rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata del contratto;
● trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle
prestazioni contrattuali;
● trattare i dati conformemente alle istruzioni impartite dall’Amministrazione, che la Società si impegna a far osservare anche alle persone da questi autorizzate ad effettuare il trattamento dei dati personali oggetto del contratto, d’ora in poi “persone autorizzate”; nel caso in cui ritenga che un’istruzione costituisca una violazione del Regolamento, del Codice o di altre disposizioni di legge relative alla protezione dei dati personali, la Società deve informare immediatamente l’Amministrazione;
● garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù dell’Atto:
○ si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;
○ ricevano la formazione necessaria in materia di protezione dei dati personali;
○ trattino i dati personali osservando le istruzioni impartite dal titolare per il trattamento dei dati personali;
● adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design), nonché adottare misure tecniche ed organizzative adeguate per garantire che i dati personali siano trattati, in ossequio al principio di necessità ovvero che siano trattati solamente per le finalità
previste e per il periodo strettamente necessario al raggiungimento delle stesse (privacy by default);
● adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento anche al fine di assicurare un adeguato livello di sicurezza dei trattamenti, in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, modifica, divulgazione non autorizzata, nonchè di accesso non autorizzato, anche accidentale o illegale, o di trattamento non consentito o non conforme alle finalità della raccolta;
● su eventuale richiesta dell’Amministrazione assistere quest’ultima nello svolgimento della valutazione d’impatto sulla protezione dei dati, conformemente all’articolo 35 del Regolamento e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’articolo 36 del medesimo Regolamento;
● ai sensi dell’art. 30 (2) del Regolamento, tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto dell’Amministrazione e cooperare con l’Amministrazione e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto registro a disposizione dell’Autorità, laddove ne venga fatta richiesta ai sensi dell’art. 30 comma 4 del Regolamento.
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, la Società si impegna, su richiesta dell’Amministrazione, a fornirle un piano di misure di sicurezza rimesse all’approvazione dell’Amministrazione medesima, che saranno concordate al fine di mettere in atto misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento. Tali misure comprendono tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità
e la resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di
incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La Società riconosce e accetta che l’Amministrazione, nell’ambito dei poteri e obblighi ad essa spettanti in qualità di titolare del trattamento, possa verificare il rispetto da parte della Società degli obblighi imposti dal presente accordo, oltre a contribuire e consentire all’Amministrazione - anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione - verifiche periodiche, ispezioni e audit circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, l'Amministrazione informa preventivamente la Società con un preavviso minimo di quattro giorni lavorativi.
Nel caso in cui all’esito di tali verifiche periodiche, ispezioni e audit le misure di sicurezza dovessero risultare inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che la Società agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà la Società ad adottare
tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato in ogni caso non inferiore a 15 giorni. In caso di mancato adeguamento a seguito della diffida, resa anche ai sensi dell’art. 1454 cc, l'amministrazione potrà, in ragione della gravità della condotta della Società e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere l’Atto, salvo il risarcimento del maggior danno.
In alternativa alle verifiche di cui sopra, l’Amministrazione potrà richiedere alla Società di fornire annualmente o comunque su richiesta dell’Amministrazione una relazione sull’andamento della gestione dei dati personali e sull’applicazione delle misure di sicurezza approvate.
La Società può avvalersi di ulteriori sub-Responsabili per delegare attività specifiche, previa autorizzazione scritta dell’Amministrazione. In questo caso ci potranno essere due categorie di sub-Responsabili:
• (a) i sub-Responsabili che forniscono servizi di cloud platform o analoghi rispetto ai quali l’Amministrazione potrà fare una valutazione degli accordi ai sensi dell’articolo 28 GDPR e dei livelli di sicurezza offerti autorizzando il Responsabile al loro impiego;
• (b) una seconda categoria di sub-Responsabili in relazione alla quale il singolo sub- Responsabile deve rispettare obblighi analoghi a quelli imposti dall'Amministrazione alla Società, riportate in uno specifico contratto o atto di nomina. Spetta alla Società assicurare che il sub- Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del Regolamento.
In caso di violazione da parte del sub-Responsabile del trattamento o degli obblighi in materia di protezione dei dati, la Società del trattamento è interamente responsabile nei confronti dell’Amministrazione di tali inadempimenti. L’Amministrazione potrà in qualsiasi momento verificare le garanzie e le misure tecniche ed organizzative del sub-Responsabile , tramite audit, verifiche e ispezioni anche avvalendosi di soggetti terzi. A tal fine, l’Amministrazione informa preventivamente la Società con un preavviso minimo di quattro giorni lavorativi.
Ove tali misure dovessero risultare inapplicate o inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che il Sub responsabile/terzo autorizzato agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà la Società a far adottare al sub-Responsabile tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato in ogni caso non inferiore a 15 giorni. In caso di mancato adeguamento a tale diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà, in ragione della gravità della condotta del sub- Responsabile e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere il contratto con la Società, salvo il risarcimento del maggior danno.
In alternativa alle verifiche di cui sopra, l’Amministrazione potrà richiedere alla Società di fornire annualmente o comunque su richiesta una relazione sull’andamento della gestione dei dati personali e sull’applicazione delle misure di sicurezza approvate da parte del sub-Responsabile.
Qualora dall’inottemperanza degli obblighi previsti dal presente accordo o dal Regolamento in capo alla Società dovesse derivare all'Amministrazione l’applicazione di una sanzione, ivi inclusa una sanzione amministrativa pecuniaria, o qualsivoglia pregiudizio, costo o spesa, la Società sarà
ritenuta direttamente responsabile nei confronti dell'Amministrazione per il danno causato dal trattamento solo se la Società non avrà adempiuto correttamente agli obblighi previsti all’interno del Regolamento specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dell'Amministrazione contenute all’interno del presente accordo. Qualora il sub-Responsabile autorizzato ometta di adempiere ai propri obblighi in materia di protezione dei dati personali, la Società conserva nei confronti dell'Amministrazione l'intera responsabilità dell'adempimento degli obblighi del sub-Responsabile.
La Società deve assistere l’Amministrazione al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati; qualora gli interessati esercitino tale diritto presso la Società, quest’ultima è tenuta ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze all’Amministrazione, supportando quest’ultima al fine di fornire adeguato riscontro agli interessati nei termini prescritti.
La Società informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, l’Amministrazione di ogni violazione di dati personali (cd. data breach); tale comunicazione è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento, per permettere al titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quando il titolare ne è venuto a conoscenza; nel caso in cui il titolare debba fornire informazioni aggiuntive all’Autorità di controllo, la Società si impegna a supportare l’Amministrazione o, se diverso, il titolare del trattamento nell’ambito di tale attività.
La Società deve avvisare tempestivamente e senza ingiustificato ritardo l'Amministrazione in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante per la protezione dei dati personali; inoltre, deve assistere l’Amministrazione nel caso di richieste formulate dall’Autorità Garante in merito al trattamento dei dati personali effettuate in ragione dell’Atto.
Al termine della prestazione dei servizi oggetto dell’Atto, la Società si impegna a: i) restituire all’Amministrazione i supporti rimovibili eventualmente utilizzati su cui sono memorizzati i dati; ii) distruggere tutte le informazioni registrate su supporto fisso, documentando per iscritto l’adempimento di tale operazione.
La Società si impegna a individuare e a designare per iscritto gli amministratori di sistema
mettendo a disposizione dell’Amministrazione l’elenco aggiornato delle nomine.
La Società si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i dati personali trattati in esecuzione del contratto, siano precisi, corretti e aggiornati nel corso della durata del trattamento - anche qualora il trattamento consista nella mera custodia o attività di controllo dei dati - eseguito dalla Società, o da un sub-Responsabile.
La Società non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte dell’Amministrazione. In tal caso, la Società adotterà le misure di garanzia che potranno essere ragionevolmente richieste dall’Amministrazione per garantire la protezione adeguata dei dati personali e, a richiesta, ne fornisce prova all’Amministrazione senza ritardo.
L’Amministrazione vigilerà durante tutta la durata del trattamento, sul rispetto degli obblighi previsti dalle presenti istruzioni e dal Regolamento da parte della Società, nonché a supervisionare l’attività di trattamento dei dati personali effettuando audit, ispezioni e verifiche periodiche sull’attività posta in essere dalla Società con un preavviso minimo di quattro giorni lavorativi.
Durante l’esecuzione dell’Atto, nell’eventualità di qualsivoglia modifica della normativa in materia di trattamento dei dati personali che generi nuovi requisiti (ivi incluse nuove misure di natura fisica, logica, tecnica, organizzativa, in materia di sicurezza o trattamento dei dati personali), la Società si impegna a collaborare - nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse - con l’Amministrazione e affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti.
XXXXXX XXXXXXXX
Commissario straordinario emergenza COVID-19 16.05.2020
13:21:19 UTC
XXXXXXX XXXXXX