E
Convenzione per lo svolgimento dell’attività di Ufficio di Registrazione per il rilascio del Certificato digitale di Autenticazione CNS e del Certificato di firma digitale con ruolo
InfoCert S.p.A., con sede legale in Roma, Xxxxxx Xxxxxxxxx x. 0, X.X. x X. Xxx 00000000000, in persona dell’Amministratore Delegato e legale rappresentante pro-tempore, Xxxx. Xxxxxx Xxxxxxxx (d’ora in avanti anche “InfoCert”, “Certificatore” o “Certification Authority”);
E
il Consiglio dell’Ordine degli/dei
Dottori Commercialisti e degli Esperti Contabili di
Foggia
Xxxx.
Xxxxxxxx Xxxxxxxxx
, in persona del _Presidente
, C.F.
94073840715
e legale rapp.te pro-tempore,
, con sede in
Xxx xxxxx Xxxxxxxxxx, 00 - 00000, Xxxxxx
Emettitore” o “Terzo Interessato”);
(d’ora in avanti anche “CDO”, “Ente
E
Visura S.p.A., con sede legale in Xxxx, Xxxxxxxxxxx xxx Xxxxxxx, 00, C.F. e X.Xxx 05338771008, in persona del Direttore Generale e legale rapp.te pro-tempore, Xxx. Xxxxxx Xxxxxxx (d’ora in avanti anche “Visura” o “Ufficio di Registrazione”);
Premesso che:
a) InfoCert, Visura e il CDO hanno concluso un “Contratto di collaborazione per lo svolgimento dell’attività di rilascio e fornitura della Carta Nazionale dei Servizi e dei Certificati Digitali di Firma con Ruolo” (d’ora in avanti il “Contratto Principale”), col quale hanno disciplinato i rispettivi diritti e obblighi in ordine all’attività di rilascio della Carta Nazionale dei Servizi (“CNS”), del Certificato di autenticazione CNS (“Certificati CNS”) del Certificato di firma con ruolo (“Certificato di firma”) e del certificati qualificati di firma remota” (“Certificato/i di Firma Remota”), in favore degli iscritti all’ Ordine
degli/dei
Dottori Commercialisti e degli Esperti Contabili
di Foggia
; il
presente accordo si inserisce dunque nell’ambito dell’operazione negoziale di cui al Contratto Principale.
b) con delibera del 19.7.2007, il Centro Nazionale per l’Informatica nella Pubblica Amministrazione (C.N.I.P.A., oggi Agenzia per l’Italia Digitale, di seguito “AgID”) ha iscritto InfoCert nell’elenco pubblico dei Certificatori, ex art. 29, D.Lgs. 82/05 (“Codice dell’Amministrazione Digitale” o “CAD”);
c) il Certificatore si è reso disponibile a svolgere i compiti di Certification Authority (o Autorità di Certificazione) per l’emissione sia dei Certificati CNS sia dei Certificati di firma con ruolo sia dei Certificati di Firma Remota con ruolo, congiuntamente i “Certificati”, in favore dei soggetti (“Titolari”) iscritti o appartenenti al CDO;
d) ai sensi dell’art. 30, c. 1, lett. a), del CAD, il Certificatore è responsabile dell’esattezza e della completezza delle informazioni contenute nel certificato qualificato di firma alla data del rilascio del medesimo e, fra le altre cose, può, ai sensi dell’art. 32, c. 3, lett. c), del CAD, “specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi”;
e) con Deliberazioni n. 4/2005 e 45/2009, contenenti “Regole per il riconoscimento e la verifica del documento informatico”, XxXX ha definito il profilo dei certificati qualificati, disciplinando le modalità di inserimento dei ruoli, poteri e delle altre informazioni di cui all’art. 32, c. 3, lett. c), del CAD;
f) InfoCert, inoltre, presta il Servizio di Certificazione anche quale prestatore di servizi fiduciari qualificati, ai sensi del Regolamento (UE) 910/2014 del 23.07.2014 (il “Regolamento eIDAS”), sulla base di una valutazione di conformità del Conformity Assesment Body CSQA Certificazioni S.r.l., ai sensi del Regolamento eIDAS e delle norme ETSI EN 319 401, ETSI EN 319 411-1; ETSI EN 319 411-2, secondo lo schema di valutazione eIDAS definito da ACCREDIA, a fronte delle norme ETSI EN 319 403 e UNI CEI ISO/IEC 17065:2012;
g) le procedure di rilascio della CNS sono esposte nel Manuale Ente e nella Certificate Policy dei Certificati di Autenticazione per la CNS ICERT–INDI-CPCA-CNS emessa dal Certificatore (la “Certificate Policy”);
h) il Manuale Operativo ICERT-INDI-MO di InfoCert (il “Manuale Operativo”) è il documento del Certificatore che disciplina le modalità di emissione, rinnovo e revoca dei Certificati, che prevede la possibilità di inserire, all’interno del Certificato di firma e del Certificato di Firma Remota, l’eventuale appartenenza del Titolare a un ordine professionale in conformità al documento Assocertificatori “Linee guida per la certificazione delle qualifiche e dei poteri di rappresentanza dei titolari di certificati di firma elettronica”, versione 1.0 del 07/07/2003, OID 1.3.76.24.1.1.1, e della relativa “Tabella Ruoli e Poteri”, versione 3, del 03.11.2003 e successive integrazioni;
i) il CDO svolge qui anche funzioni di Terzo Interessato, ossia di ente deputato alla certificazione della sussistenza, in capo ai futuri Titolari dei Certificati, della qualità di iscritto all’ordine professionale di appartenenza;
j) preliminare e presupposto dell’emissione dei Certificati è il completamento della procedura di registrazione, che dovrà essere svolta in conformità alle procedure indicate nel Manuale Operativo e nel rispetto di quanto nel seguito indicato, durante la quale vengono raccolti i dati obbligatori del Titolare (fra i quali, anche l’indirizzo e-mail e il numero di telefono cellulare direttamente riconducibili al Richiedente) e viene eseguita l’identificazione fisica dello stesso attraverso la presa visione del documento di identità originale (che non potrà essere esibito in copia e che dovrà essere integro ed in corso di validità) del Richiedente;
k) Visura si è offerta di svolgere, in qualità di Ufficio di Registrazione di InfoCert e del CDO, direttamente o – previo conferimento del relativo incarico (“Mandato I.R.”) - per il tramite di propri agenti o strutture periferiche (c.d. “Incaricati alla registrazione” o “I.R.”), le suddette preliminari operazioni di raccolta dei dati relativi ai Titolari, loro identificazione, raccolta della richiesta di registrazione e certificazione da questi compilata e sottoscritta nonché trasmissione della relativa documentazione con le ulteriori verifiche connesse, ad InfoCert e al CDO per il successivo rilascio dei Certificati e della CNS.
Tutto ciò premesso
Le parti convengono quanto segue
Art.1 Valore delle premesse e degli Allegati
1.1. Le premesse e gli allegati di cui alla presente Convenzione ovvero i Manuali Operativi dalla medesima richiamati formano parte integrante del presente accordo.
Costituiscono allegati alla presente Convenzione i seguenti documenti:
A1. Modulo richiesta di emissione CNS e certificato di sottoscrizione con ruolo;
A2. Modulo di richiesta emissione Certificato di Firma Remota con Ruolo;
B. Mandato I.R.;
C. Condizioni Generali di contratto CNS e certificato di sottoscrizione con ruolo;
D. Nomina di Visura a responsabile del trattamento dei dati personali di cui InfoCert è titolare
del trattamento;
E. Nomina di Xxxxxx a responsabile del trattamento dei dati personali di cui il CDO è titolare del trattamento.
1.2. Si specifica che il Manuale Operativo predisposto dall’Ente Certificatore contenente le procedure di identificazione e registrazione e di emissione dei certificati di firma è disponibile al seguente link: xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXXXX-XXXX-XX-XX.xxx e la Certificate Policy predisposto dall’Ente Certificatore è disponibile al seguente link: xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/xxxxx-xxxx-xxxx-xxx.xxx, sono redatti da InfoCert secondo le disposizioni di legge, vengono depositati presso AgID, da questa approvati e pubblicati nella versione aggiornata sull'apposita pagina del sito di AgID, nonché sul sito di InfoCert. In ogni caso, le eventuali modifiche a tali documenti sono valide, efficaci e vincolanti per entrambe le Parti dalla pubblicazione dei documenti stessi sul sito di AgID e si intendono quale parte integrante alla presente Convenzione. È quindi preciso onere dell’Ufficio di Registrazione monitorare periodicamente il sito dell’AgID e/o il sito xxx.xxxxx.xxxxxxxx.xx.
Art. 2 Oggetto
2.1. Ai fini del rilascio della CNS e dei relativi Certificati, InfoCert e il CDO affidano congiuntamente a Visura, che accetta per sé ed in nome e per conto dei propri dipendenti e collaboratori e terzi incaricati, di esercitare le funzioni di Ufficio di Registrazione (Registration Authority) indicate nella Certificate Policy, quelle riportate nel Manuale Operativo di InfoCert e quelle indicate nel Manuale pubblicato dall’Ente Emettitore (“Manuale Ente”) disponibile al seguente link: xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXX-XXXX-XxxxxxXxxxxxxxxxxxx.xxx, così come di volta in volta aggiornate dal Certificatore. L’Ufficio di Registrazione assume, pertanto, tutti gli obblighi ivi previsti, ivi inclusi, in particolare, quelli di cui al par. 3.1.2 della Certificate Policy e al par. 3.1.2. del Manuale Operativo.
2.2. L’Ufficio di Registrazione si obbliga a osservare strettamente e far rispettare ai propri dipendenti, collaboratori ed eventuali incaricati, le procedure di identificazione e registrazione previste nel Manuale Operativo Carta Nazionale dei Servizi dell’Ente Emettitore e nel Manuale Operativo ICERT-INDI-MO di InfoCert, nonché le procedure di identificazione ed autenticazione indicate nella Certificate Policy dei Certificati di Autenticazione per la CNS ICERT-INDI-CPCA-CNS, obbligandosi inoltre a mettere a disposizione dei propri dipendenti, collaboratori ed eventuali incaricati detti documenti affinché ne possano rispettare le prescrizioni. Visura dichiara comunque di essere pienamente a conoscenza degli obblighi di legge e delle incombenze proprie dell’Ufficio di Registrazione relativamente all’identificazione dei Clienti, che si impegna a rispettare integralmente e scrupolosamente.
2.3. L’attività che l’Ufficio di Registrazione dovrà compiere comprende, tra le altre cose: identificazione certa del richiedente la CNS e dei Certificati mediante esibizione di un documento di riconoscimento da parte di quest’ultimo, dovendosi sin d’ora precisare che l’attività di identificazione del Richiedente dovrà obbligatoriamente avvenire attraverso l’esibizione del documento di identità originale (non essendo ammissibile la sola copia del documento) integro ed in corso di validità; raccolta della richiesta di registrazione e certificazione del Richiedente (cfr. Allegati A1) ed A2) compilata e sottoscritta in ogni sua parte; verifica della integrale compilazione del modulo di richiesta di cui agli all.ti A1) ed A2), con particolare riferimento all’inserimento da parte del Richiedente dei dati personali obbligatori, fra cui l’indirizzo mail e il numero di telefono cellulare che dovranno essere direttamente riconducibili a quest’ultimo; verifica attraverso i sistemi del Certificatore che i dati obbligatori rilasciati (indirizzo email e numero di cellulare indicato nel Modulo di Richiesta di cui ai moduli A1) ed A2) non siano abbinati ad un codice fiscale già appartenente ad un diverso Titolare; rilascio della ricevuta (sottoscritta direttamente dal Richiedente e dall’Ufficio di Registrazione); consegna al Richiedente della documentazione informativa precisando a quest’ultimo che la ricezione dei codici di attivazione (e revoca) avverranno mediante l’invio direttamente dal Certificatore di una busta virtuale all’indirizzo email indicato in sede di Richiesta; trasmissione ad InfoCert della relativa documentazione debitamente compilata e sottoscritta.
2.4. Nello svolgimento dell’attività di identificazione, l’Ufficio di Registrazione o, se incaricati, i suoi I.R., si impegnano ad accertare che i recapiti di riferimento obbligatori forniti dal Richiedente (indirizzo mail e numero di telefono cellulare) siano riconducibili esclusivamente al Richiedente, in quanto dati identificativi.
2.6. L’Ufficio di Registrazione si obbliga altresì al rispetto delle procedure di gestione della CNS indicate al paragrafo 4.3. del Decreto 9.12.2004 recante “Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta Nazionale dei Servizi”, nonché delle misure di sicurezza di cui al capitolo 5 del medesimo Decreto.
2.7. Inoltre, l’Ufficio di Registrazione dovrà trasmettere ad InfoCert e al CDO le richieste di revoca, sospensione, ripristino di validità e rinnovo dei Certificati, presentate dai Titolari a Visura, secondo le modalità indicate nel Manuale Operativo e nella Certificate Policy.
Art. 3 Ulteriori Attività dell’Ufficio di Registrazione
3.1 L’Ufficio di Registrazione, nell’impegnarsi ad esercitare le attività previste nella presente scrittura con la diligenza di cui all’art. 1710, c.c., provvederà a:
a) svolgere l’attività di registrazione nel rispetto della normativa vigente, con particolare riferimento all’identificazione personale certa di coloro che richiedono l’emissione dei Certificati nel rispetto di quanto indicato al precedente articolo 2 e trasmettere i risultati di tali attività ad InfoCert nelle modalità concordate e/o indicate nella documentazione contrattuale, attestandone l’esattezza e la veridicità;
b) vigilare sui propri dipendenti e incaricati affinché le attività svolte ai sensi del presente mandato si svolgano nel rispetto della normativa vigente, di quanto previsto negli allegati elencati o richiamati all’art. 1 e di quanto pattuito con il presente atto;
c) impedire ai propri dipendenti la prosecuzione delle attività e curare l’immediato ritiro di ogni materiale a tal fine utilizzato, qualora, per qualsiasi causa, si interrompa il rapporto in essere coi medesimi dipendenti e incaricati;
d) provvedere a informare i richiedenti sulle modalità di rilascio e di utilizzo della CNS e dei Certificati, con particolare riferimento alle modalità di revoca, sospensione e rinnovo dei Certificati, nonché sugli aspetti normativi e sulle conseguenze giuridiche derivanti dall’utilizzo degli stessi;
e) provvedere ad informare i Richiedenti dell’esistenza di un “contact center”, gestito da Visura, indicandone i relativi recapiti, a cui gli stessi possono rivolgersi per l’assistenza, revoca e sospensione dei Certificati;
f) tenere un registro aggiornato di carico e scarico dei dispositivi di cui dispone con indicazione della loro allocazione territoriale;
g) informare immediatamente InfoCert di eventuali vizi, difetti, interruzioni e comunque malfunzionamenti del sistema e/o di errori nello svolgimento delle attività di identificazione e registrazione da parte degli I.R. e/o degli Addetti;
h) non utilizzare né trattare i dati personali acquisiti in violazione del D.Lgs. n. 196/2003 né del Regolamento (UE) n. 679/2016 e comunque della normativa applicabile in materia di trattamento dei dati personali, e a rispettare la predetta normativa anche quale Responsabile Esterno del Trattamento specificamente nominato da InfoCert e dal CDO con atti di nomina allegati sub D) e E);
i) consentire,– senza intralcio al normale svolgimento dell’attività –, che incaricati di InfoCert possano accedere nei propri locali per verificare il corretto svolgimento dei servizi e il rispetto delle procedure; tali visite potranno essere effettuate senza preavviso e, nel corso delle stesse, InfoCert avrà la facoltà di visionare ed estrarre copia di tutta la documentazione, cartacea, informatica, ecc., afferente l’attività svolta dall’Ufficio di Registrazione in esecuzione del presente contratto;
j) concordare preventivamente con InfoCert qualsiasi documentazione rilasciata al Titolare relativamente all’attività di registrazione e/o di rilascio dei Certificati;
k) trasmettere tempestivamente ad InfoCert, ogniqualvolta quest’ultima ne faccia richiesta, tutta la documentazione nonché tutte le evidenze informatiche attestanti l’attività di identificazione e/o registrazione degli utenti e/o di rilascio dei servizi di certificazione digitale.
l) trasmettere ad InfoCert le richieste di revoca, sospensione, ripristino di validità dei Certificati provenienti dai Richiedenti nonché le relative copie e, in ogni caso, quando InfoCert ne faccia richiesta all’occorrenza;
Art. 4 Responsabilità
4.1. L’Ufficio di Registrazione è direttamente responsabile nei confronti di InfoCert e del CDO, oltre che dei danni da queste subiti, anche per eventuali danni patiti dagli Utenti e/o da terzi, direttamente conseguenti a propri comportamenti e/o omissioni colpevoli nonché per i comportamenti e/o le omissioni colpevoli connesse all’operato dei propri dipendenti e incaricati, nell’esercizio dell’attività di identificazione e registrazione e nell’espletamento degli obblighi nascenti dalla normativa vigente e dalla presente Convenzione e relativi allegati, senza possibilità di esonero neanche parziale, anche in deroga all’art. 1717, c. 2, c.c.
4.2. L’Ufficio di Registrazione prende atto e accetta, in particolare, che la violazione degli obblighi di corretta e certa identificazione di cui al precedente art. 2 comporta responsabilità civili nei confronti di InfoCert nonché responsabilità civili e penali connesse all’operato dei propri dipendenti nei confronti di quest’ultima.
4.3. In particolare, L’Ufficio di Registrazione prende atto ed accetta, nel caso in cui un Cliente titolare di Certificato o un qualunque terzo avanzasse pretese economiche nei confronti di InfoCert o del CDO, per fatti direttamente o indirettamente ricollegabili ad inadempimenti e/o negligenze dell’Ufficio di Registrazione stesso, a tenere indenne e/o manlevare InfoCert e il CDO da qualsiasi conseguenza pregiudizievole, anche in termini di spese legali. Identica manleva è prevista per l’ipotesi di sanzioni amministrative e/o pecuniarie comminate ad InfoCert o al CDO per violazioni riconducibili a condotte (anche omissive) dell’Ufficio di Registrazione.
4.4. Ancorché, ai sensi dell’art. 8, l’incarico svolto dall’Ufficio di Registrazione sia a titolo gratuito, le Parti stabiliscono che, anche in deroga all’ultimo periodo dell’art. 1710, co. 1, c.c., il grado di diligenza richiesto all’Ufficio di Registrazione è quello (più elevato dell’ordinario) che ci si attende da un operatore professionale, e dunque la responsabilità di quest’ultima dovrà essere valutata col medesimo rigore di quella di cui ad un mandato a titolo oneroso.
Art. 5 Mandati I.R. da parte di Visura
5.1 Le Parti stabiliscono che, per lo svolgimento in concreto delle attività di Ufficio di Registrazione, Visura ha la facoltà di operare anche attraverso propri incaricati, denominati Incaricati della Registrazione (“I.R.”), i quali, in virtù di apposito Mandato I.R., svolgeranno le medesime procedure di identificazione e registrazione ai sensi degli artt. 2 e 3 della presente Convenzione.
Resta ovviamente ferma la responsabilità diretta e principale di Visura per l’operato dei propri sostituti.
5.2 L’Ufficio di Registrazione dovrà comunicare, in tempi brevi (entro e non oltre 30 giorni dalla sottoscrizione della presente Convenzione), per iscritto al Certificatore e al CDO la denominazione, il nominativo del legale rappresentante (in caso di persona giuridica), la sede o residenza, il codice fiscale, i recapiti telefonici e gli indirizzi e-mail (in caso di persona fisica) degli
I.R. che saranno chiamati a svolgere le attività demandate, mantenendo aggiornate le predette informazioni. L’Ufficio di Registrazione si impegna, altresì, a mantenere costantemente aggiornata la lista dei suddetti nominativi, comunicando ad InfoCert ogni variazione entro e non oltre 3 (tre) giorni dalla stessa.
Art. 6 Rapporto tra l’Ufficio di Registrazione e l’I.R.
6.1 Il rapporto tra l’Ufficio di Registrazione e l’I.R. sarà disciplinato esclusivamente da un apposito Mandato I.R., interamente corrispondente al format di cui all’All. sub B, che l’Ufficio di Registrazione si obbliga a sottoscrivere con ciascun I.R. e a non modificare per l’intera durata del presente Contratto.
L’Ufficio di Registrazione promette e garantisce, ex art. 1381, c.c., che anche l’I.R. designato sottoscriverà il suddetto contratto e ne rispetterà le previsioni, anche quale sub-responsabile del trattamento dei dati, nominato dall’Ufficio di Registrazione con apposito atto di nomina di cui al
format sub B).
6.2. L’I.R. deve in ogni caso essere adeguatamente formato con riferimento alle attività inerenti l’identificazione e la registrazione dei Richiedenti nonché alle relative responsabilità. (cfr. art. 6 bis).
6.3. In virtù della natura strettamente fiduciaria del presente mandato, e della estrema delicatezza dell’attività di riconoscimento dei richiedenti, InfoCert e il CDO, a proprio insindacabile giudizio e senza obbligo di motivazione, hanno il diritto, anche disgiuntamente, di chiedere all’Ufficio di Registrazione che quest’ultimo revochi il mandato ad uno o più I.R. specificamente individuati.
6.4. InfoCert e il CDO avranno facoltà, anche disgiuntamente, di risolvere nei confronti dell’Ufficio di Registrazione ex art. 1456, c.c., il presente Contratto, nei casi in cui:
a) l’Ufficio di Registrazione regoli i rapporti con gli I.R. in maniera anche solo parzialmente difforme dal format contrattuale di cui all’All. B;
b) l’Ufficio di Registrazione, in presenza di comportamenti anomali tenuti dai propri Incaricati, dietro richiesta espressa da parte del Certificatore o del CDO, non adempia all’obbligo di revocare il Mandato I.R.
Art. 6 bis Formazione R.A.O. e I.R.
InfoCert si impegna ad erogare attività di formazione in favore di tutti i dipendenti dell’Ufficio di Registrazione coinvolti nelle attività di cui alla presente Convenzione, con particolare riferimento alle procedure da seguire per l’identificazione certa dei Richiedenti, la corretta registrazione dei dati dei Titolari e la consegna dei dispositivi, conformemente alle pratiche operative definite dalla CA.
In particolare, la formazione comprende una dimostrazione pratica sulle fasi della registrazione e sull’uso corretto e completo degli strumenti software messi a disposizione degli operatori della
R.A. e degli I.R. ai fini della registrazione dei Richiedenti.
Al termine di ciascun percorso di formazione, InfoCert verificherà, mediante apposito test di valutazione, la preparazione dei soggetti interessati.
La formazione di XXX e I.R. dovrà essere erogata direttamente a cura dell’Ufficio di Registrazione in coerenza e nel rispetto dei contenuti e delle modalità con le quali viene erogata la formazione da parte di InfoCert.
Le attività di formazione nei confronti degli I.R. dovranno essere rendicontate ad InfoCert con cadenza almeno semestrale attraverso report di riepilogo corredati da idonea documentazione attestante la compiuta formazione da parte dei singoli I.R. impegnati nell’esecuzione dei servizi. Visura infine si impegna a far assumere gli obblighi di cui al presente atto nonché dell’atto aggiuntivo al Contratto Principale ed alla Convenzione RAO, oltre che ai propri RAO e dipendenti, anche agli I.R. di cui si avvale.
Art. 7 Durata - Recesso - Risoluzione
7.1 La presente convenzione avrà efficacia dalla data della sua sottoscrizione e durata pari a quella del Contratto Principale.
7.2 Considerata la natura strettamente fiduciaria e intuitu personae del presente rapporto, InfoCert e il CDO avranno diritto di recedere a loro insindacabile giudizio dal presente accordo, anche disgiuntamente tra loro, senza il pagamento di alcun corrispettivo e senza dover addurre alcuna motivazione, con un preavviso di 3 (tre) mesi, revocando il mandato all’Ufficio di Registrazione ex art. 1722, n. 2), c.c. In ogni caso di recesso da parte di InfoCert o del CDO, l’Ufficio di Registrazione, anche in deroga all’art. 1725, c. 2, c.c., non potrà vantare alcuna richiesta nei confronti di InfoCert o del CDO, neanche per eventuali danni subiti in conseguenza dello stesso.
7.3 Poichè la presente Convenzione è strettamente collegata al Contratto Principale di cui in premessa, lo scioglimento, la risoluzione o comunque il venir meno dell'efficacia, per qualsiasi motivo, di tale ultimo contratto comporterà in via automatica lo scioglimento della presente Convenzione.
7.4 In qualsiasi ipotesi di scioglimento del Contratto, anticipato o meno, le Parti mantengono l’impegno, anche nei confronti l’una dell’altra, di continuare ad eseguire le proprie obbligazioni
legate alla durata residua delle CNS e dei Certificati già emessi al momento dello scioglimento.
7.5. La violazione, anche parziale, da parte dell’Ufficio di Registrazione di uno qualsiasi degli obblighi di cui agli artt. 2, 3, 5, 6 o 9, darà diritto ad InfoCert o al CDO di risolvere, anche disgiuntamente, la presente Convenzione ex art. 1456 c.c., e comunque costituirà giusta causa di revoca del mandato conferito all’Ufficio di Registrazione, fatto salvo il diritto di InfoCert e del CDO al risarcimento dei danni subiti e subendi. La risoluzione sarà esercitata a mezzo comunicazione scritta da inviarsi con posta elettronica certificata o lettera raccomandata a.r.
Anche ai sensi dell’art. 1723, c. 1 e 2, x.x., xx xxxx xx xxxxxx xxx xxxxxxx ai sensi del presente comma, l’Ufficio di Registrazione non potrà avanzare nei confronti di InfoCert o del CDO alcuna pretesa, neanche per danni, mancato guadagno, perdita di chance, ecc.
7.6. In ogni caso di revoca del mandato, o comunque di risoluzione della presente Convenzione per qualsiasi ragione, l’Ufficio di Registrazione è obbligato a cessare qualsiasi attività posta in essere in base al presente atto e a restituire i materiali ricevuti, nonché i dati e documenti elaborati o di cui sia venuta in possesso nell’esecuzione della Convenzione.
7.7. Considerato che le facoltà di risoluzione, recesso e revoca del mandato sono riconosciute in capo ad InfoCert e al CDO anche in via disgiunta, ove anche una sola di esse eserciti tale facoltà, ed anche in presenza di opposizione dell’altra, la presente Convenzione si risolverà comunque integralmente, non potendo il rapporto proseguire solo tra InfoCert e Xxxxxx o solo tra il CDO e Visura.
Analogamente, al presente mandato non si applica l’art. 1726 c.c., potendo InfoCert o il CDO revocarlo ad nutum anche l’una disgiuntamente dall’altra, e comportando tale revoca lo scioglimento dell’intera Convenzione.
Art. 8 Corrispettivi
8.1 Per lo svolgimento dell’attività prevista nella presente convenzione non è previsto il riconoscimento di alcun corrispettivo in favore dell’Ufficio di Registrazione.
Art. 9 D. L.vo 231/200, Codice Etico e normativa antimafia
9.1 Le Parti, nell’esecuzione delle attività derivanti dalla presente convenzione, garantiscono la stretta osservanza, anche da parte dei propri amministratori, dirigenti, dipendenti, collaboratori o fornitori, della normativa antimafia e della normativa vigente in materia di responsabilità delle persone giuridiche di cui al D.Lgs.231/2001 e ss. mm. ii., prendendo atto del fatto che il mancato adempimento alla richiamata normativa potrà comportare, su richiesta della parte non inadempiente, risoluzione con effetto immediato del presente mandato, ai sensi e per gli effetti dell’art. 1456, c.c.
9.2 Visura, nell’esecuzione delle attività derivanti dal presente mandato, si impegna a osservare le norme contenute nel Codice Etico del Certificatore disponibile sul sito InfoCert alla pagina xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxx/xxxxxxx-000-xxxxxx-xxxxx.xxxx, come di volta in volta integrate e modificate.
9.3 Visura, con la sottoscrizione del presente accordo, dichiara quindi di avere preso visione e di accettare il suddetto Codice Etico.
Art. 10 Legge applicabile e foro competente
10.1. Al presente Contratto e, in particolare, alla sua interpretazione ed esecuzione, trova applicazione la legge italiana.
10.2. Per qualsiasi controversia relativa al presente Contratto (ivi compresa, a titolo esemplificativo, quelle sulla sua validità ed esistenza) sarà competente in via esclusiva il Tribunale di Roma.
Art. 11 Comunicazioni
11.1 Ogni comunicazione relativa al presente Contratto dovrà essere effettuata, a mezzo raccomandata /r o a mezzo pec, esclusivamente ai seguenti indirizzi:
Visura S.p.A.: Xxx Xxxxxxx Xxxxxx, 000 - 00000 Xxxx, pec: xxxxxx@xxxxxxxxx.xx;
InfoCert S.p.A.: Xxxxxx Xxxxxxxxx, 0 - 00000 Xxxx, pec: xxxxxxxx@xxxxxxxxx.xx;
CDO: Dottori Commercialisti e degli_Esperti Contabili di Foggia, Xxx xxxxx Xxxxxxxxxx, 00 - 00000, Xxxxxx, pec: xxxxxxxxxxx@xxxxxxxxxxxxxx.xx
11.2 Qualsiasi modifica di tali recapiti potrà avvenire, a pena di inefficacia, solo con lo stesso mezzo e ai medesimi indirizzi.
Luogo e data
27/07/2022
Roma
InfoCert S.p.A. Firmato dig Luogo: Rom Data: 27/07 | Visura S.p.A. italmente da: Xxxxxx Xxxxx Xxxxx Xxxxxxx a /2022 15:43:04 | Il Consiglio dell’Ordine degli\dei Dottori Commercialisti e degli Esperti Contabili di Foggia Firmato digitalmente da: SE Data: 01/08/2022 12:34:49 |
NERCHIA GI
Allegato E - Nomina di Visura a responsabile del trattamento dei dati personali di cui il CDO è titolare del trattamento.
CONTRATTO PER IL TRATTAMENTO DEI DATI PERSONALI, AI SENSI DELL'ART. 28 DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (n. 2016/679/UE)
TRA
L’Ordine degli Dottori Commercialisti e degli Esperti Contabili
_ di
Foggia _,
con sede legale in
Xxx xxxxx Xxxxxxxxxx, 00 - 00000, Xxxxxx , C.F. e P.IVA
94073840715
Presidente
, in persona di Xxxxxxxx Xxxxxxxxx
(di seguito "CDO" o "Titolare").
E
_, nella sua qualità di
Visura S.p.A., con sede legale in Xxxx, Xxxxxxxxxxx xxx Xxxxxxx 00, C.F. e X.Xxx 05338771008, in persona del Direttore Generale e legale rapp.te pro-tempore, Xxx. Xxxxxx Xxxxxxx (di seguito "Visura" o "Responsabile").
Il Cliente e Visura di seguito indicati, ciascuno singolarmente, anche "Parte" e, congiuntamente, "Parti".
Premesso che
X. Xxxxxx e il CDO hanno concluso, un contratto (di seguito, “Accordo”), di cui questa nomina è un allegato, avente ad oggetto l’incarico di Ufficio di Registrazione per il rilascio di Certificati digitali di Autenticazione CNS e di Certificati di firma digitale “con ruolo” specificato negli allegati all’Accordo medesimo di cui è parte anche InfoCert;
B. per l'esecuzione del suddetto Accordo, Visura è tenuta a svolgere, per conto del Cliente, attività di trattamento di dati personali di cui il Cliente è titolare, ai sensi dell'art. 4, par. 1, n. 2) del Regolamento generale sulla protezione dei dati n. 679/2016/UE (di seguito, "Regolamento");
C. Visura è in grado di porre in essere misure tecniche e organizzative adeguate al soddisfacimento dei requisiti del Regolamento e alla tutela dei diritti degli interessati, ossia delle persone che richiederanno il rilascio della CNS e del Certificato di firma (“Interessati”), tenuto conto della natura dei dati trattati, delle finalità per cui tali dati sono trattati e del contesto dell’organizzazione, nell’ambito della quale ha designato, ove applicabile, un Responsabile per la Protezione dei Dati Personali (“RPDP”) e ne ha comunicato formalmente il nominativo al Garante Privacy;
D. ai sensi dell'art. 28 del Regolamento, le Parti con il presente contratto (di seguito, "Contratto") intendono disciplinare le attività di trattamento dei dati personali di cui il Cliente è Titolare ad opera del Responsabile.
Tutto ciò premesso, le Parti convengono e stipulano quanto segue.
1. Premesse
1.1. Le premesse costituiscono parte integrante e sostanziale del presente Contratto.
2. Obblighi del Responsabile
2.1. Fatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, ivi inclusi i provvedimenti delle Autorità di controllo in materia di dati personali, il Responsabile è obbligato a rispettare quanto segue e pertanto dichiara di:
2.1.1. trattare i dati personali nel pieno rispetto del Regolamento e della normativa privacy tempo per tempo vigente, sulla base del presente Contratto e di ogni altra istruzione impartita dal Titolare ai sensi dell’Accordo e dei relativi allegati;
2.1.2. adottare idonei sistemi informatici per il trattamento dei dati personali;
2.1.3. garantire, per conto delle persone autorizzate al trattamento dei dati personali, l'obbligo di riservatezza in merito a tutte le informazioni e i dati acquisiti in esecuzione dell'Accordo e del Contratto;
2.1.4. designare le persone fisiche autorizzate al trattamento (ossia i propri dipendenti, come pattuito nell’Accordo), formare adeguatamente le stesse mediante appositi eventi formativi in materia di trattamento dei dati personali e conferire loro, in forma scritta, l'incarico di compiere le operazioni di trattamento nonché le medesime istruzioni impartite dal Titolare al Responsabile sulla base del presente Contratto e dell’Accordo, istruirle sulle modalità di elaborazione dei dati ai quali hanno accesso e vigilare sulle stesse, nonché comunicare al Titolare, su richiesta di quest’ultimo, i nominativi delle persone autorizzate;
2.1.5. adottare tutte le misure di sicurezza richieste ai sensi dell'art. 32 del Regolamento (anche attraverso la valutazione di liceità, di minimizzazione dei trattamenti e la valutazione strutturata dei rischi) tra le quali anche le misure di attuazione dei principi di privacy by design e by default;
2.1.6. con riferimento al paragrafo 6.3.1 della norma ISO/IEC 29134, essere in possesso di una policy che definisca le regole per la valutazione del rischio ed i criteri di accettazione;
2.1.7. essere in possesso di una procedura di gestione accessi logici basata sul principio della minimizzazione dei permessi e del need to know;
2.1.8. adempiere agli obblighi di cui all'art. 3 del presente Contratto, in caso di designazione di
sub-responsabili;
2.1.9. assistere il Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli Interessati, previsti dagli artt. 15-22 del Regolamento;
2.1.10. assistere il Titolare nell'adempimento degli obblighi in materia di misure di sicurezza tecniche ed organizzative di cui all'art. 32 del Regolamento così come individuate di volta in volta dal medesimo Titolare, ivi incluse le seguenti: (i) pseudonimizzazione e/o cifratura dei dati personali; (ii) resilienza dei sistemi e dei servizi di trattamento; (iii) capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico; (iv) procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
2.1.11. adottare e aggiornare un registro delle violazioni dei dati personali, stabilire le procedure interne che disciplinano il processo di gestione del “data breach”, assistere il Titolare nell'adempimento degli obblighi in materia di notificazione dei dati personali di cui agli artt. 33 e 34 del Regolamento e, in particolare, informare il Titolare della eventuale violazione di dati personali, entro e non oltre 24 (ventiquattro) ore decorrenti dal momento della violazione stessa;
2.1.12. assistere il Titolare nelle attività connesse alla valutazione d'impatto sulla protezione dei dati personali di cui all'art. 35 del Regolamento e, se richiesto, cooperare con il Titolare nell'ambito delle consultazioni preventive di cui all'art. 36 del Regolamento;
2.1.13. cancellare o restituire - a scelta del Titolare - tutti i dati personali oggetto di trattamento in caso di cessazione dell'efficacia del presente Contratto, ai sensi del successivo art. 4, salvi gli obblighi di conservazione dei dati personali eventualmente derivanti dal diritto dell'Unione o degli Stati membri;
2.1.14. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente art. 2. A tale riguardo, il Responsabile si impegna, fermo restando quanto previsto dall'art. 2.1.16, all'ordinata e diligente tenuta della documentazione inerente le attività di trattamento e la prestazione dei servizi di cui all'Accordo, rendendola accessibile al Titolare o ai soggetti da questi designati per eventuali ispezioni. Con un preavviso minimo di 24 (ventiquattro) ore - non dovuto in caso di violazioni di dati personali -, il Titolare potrà disporre un accesso presso la sede del Responsabile o altro luogo nella disponibilità giuridica del Responsabile in cui sia conservata la documentazione relativa alle attività di trattamento, sostenendone i relativi costi e dando preventiva comunicazione al Responsabile delle generalità dei soggetti incaricati delle verifiche. I costi delle verifiche di cui al presente art. 2.1.14 saranno addebitati al Responsabile qualora, all'esito delle stesse, risulti un grave inadempimento agli obblighi di cui al presente Contratto o dell'Accordo;
2.1.15. informare il Titolare qualora, ad avviso del Responsabile, un'istruzione impartita dal Titolare sia in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati personali;
2.1.16. tenere aggiornato il registro dei trattamenti dei dati personali effettuati ai sensi del presente Contratto e dell'Accordo, mettendolo a disposizione del Titolare in caso di sua richiesta nonché delle Autorità di controllo;
2.1.17. laddove applicabile, adempiere alle prescrizioni impartite dal Garante per la protezione dei dati personali relativamente alle attribuzioni di amministratore di sistema, con il Provv. del 27.11.2008. Il Responsabile si impegna, in particolare, a nominare gli amministratori di sistema e verificare le attività svolte dagli stessi, in modo da assicurarne la conformità con
(i) gli obblighi assunti nella nomina; (ii) le misure di sicurezza tecniche e organizzative richieste dal Regolamento e (iii) i provvedimenti del Garante e le altre disposizioni di legge applicabili;
2.1.18. ove applicabile, fornire agli Interessati l'informativa predisposta dal Titolare;
2.1.19. non comunicare a terzi, salvo quanto previsto dall'art. 3 ovvero in caso di consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento;
2.1.20. se richiesto, curare, di concerto con il Titolare, i rapporti con le Autorità di controllo in materia di protezione dei dati personali, anche nell'ambito di procedimenti amministrativi e giurisdizionali inerenti il Titolare medesimo.
3. Designazione di sub-responsabili
3.1. Il Responsabile non può ricorrere a un sub-responsabile (di seguito, "Sub-Responsabile") per l'esecuzione del presente Contratto o dell'Accordo senza preventiva autorizzazione da parte del Titolare, essendo altresì tenuto ad osservare quanto previsto al presente art. 3.
3.2. Il contratto che disciplina i rapporti tra Responsabile e Sub-Responsabile dovrà prevedere:
3.2.1. l'imposizione, nei confronti del Sub-Responsabile, dei medesimi obblighi gravanti sul Responsabile ai sensi del presente Contratto;
3.2.2. garanzie sufficienti in merito alla conformità al Regolamento - e a ogni altra disposizione di legge o regolamentare applicabile in materia di protezione di dati personali - delle misure tecniche e organizzative adottate.
3.3. Resta ferma la piena e integrale responsabilità del Responsabile nei confronti del Titolare, in caso di inadempimento del Sub-Responsabile agli obblighi previsti nel presente Contratto.
4. Durata
4.1. Il presente Contratto è efficace dal momento della sottoscrizione. Esso cesserà di avere efficacia nei casi previsti dall'art. 5 ovvero in caso di cessazione, a qualsiasi causa dovuta, dell'efficacia dell'Accordo.
5. Risoluzione e recesso
5.1. Il Titolare ha il diritto di recedere dal presente Contratto in qualsiasi momento, comunicando la propria intenzione al Responsabile a mezzo posta elettronica certificata o lettera raccomandata a.r., ai recapiti di cui all'Accordo. Tale recesso sarà efficace alla data di ricevimento della predetta comunicazione da parte del Responsabile.
5.2. Le Parti convengono che il verificarsi anche di una sola delle circostanze di seguito indicate costituisce un grave inadempimento del Responsabile agli obblighi previsti nel presente Contratto. Fatti salvi gli altri rimedi previsti dalla legge, il presente Contratto e l'Accordo si intenderanno risolti di diritto con effetto immediato, ai sensi dell’art. 1456, c.c., con semplice comunicazione scritta da parte del Titolare al Responsabile, da inviarsi ai recapiti di cui all'Accordo, in caso di violazione degli obblighi di cui agli artt. 2.1.1; 2.1.2; 2.1.3; 2.1.4; 2.1.5; 2.1.6; 2.1.7; 2.1.8; 2.1.9; 2.1.10; 2.1.11; 2.1.12; 2.1.13; 2.1.14; 2.1.15; 2.1.16; 2.1.17; 2.1.18; 2.1.19; 2.1.20; 2.1.21 e 3 del presente Contratto.
6. Manleva
6.1. Nel caso in cui il Responsabile violi gli artt. 2 e 3 del presente Contratto, lo stesso Responsabile si impegna a manlevare e tenere indenne il Cliente da qualsiasi danno, pregiudizio, costo, spesa (incluse le spese legali), sanzione o qualsivoglia altro onere derivante dalla suddetta violazione, ivi comprese eventuali pretese o azioni giudiziarie, arbitrali o amministrative intentate da parte di qualsiasi terzo, ivi incluse le pubbliche amministrazioni, nazionali o internazionali.
7. Disposizioni finali
7.1. Il corrispettivo del Responsabile per l'esecuzione del presente Xxxxxxxxx si intende ricompreso nel corrispettivo concordato dalle Parti per l'esecuzione dell'Accordo.
7.2. L’invalidità, inefficacia o inapplicabilità di talune disposizioni del presente Contratto non inficia la validità, efficacia o applicabilità delle altre disposizioni del presente Contratto. Le Parti si impegnano a sostituire una disposizione invalida, inefficace o altrimenti inapplicabile con una disposizione valida ed efficace che si avvicini all’intento originario dal punto di vista economico. Lo stesso vale per le disposizioni mancanti.
7.3. Il presente Contratto è regolato dalla legge italiana, con esclusione delle norme di diritto internazionale privato.
7.4. Ogni controversia relativa alla validità, efficacia e interpretazione del presente Contratto è devoluta alla competenza esclusiva del Foro di Roma.
7.5. Le modifiche e le integrazioni del Contratto devono essere approvate in forma scritta dalle Parti. Lo scambio di email non integra il requisito della forma scritta. Gli accordi orali sono inefficaci. Per tutto quanto non previsto espressamente in questa sede, il presente Contratto è disciplinato dalle disposizioni di legge applicabili.
7.6. Il mancato esercizio ad opera di una delle Parti di un qualsiasi diritto o facoltà garantiti dalla legge o dal presente Contratto non costituirà rinuncia a tali diritti e facoltà.
Luogo e data
27/07/2022
Roma
Firmato Luogo: Data: 2
Il Consiglio dell’Ordine degli\dei
Visura S.p.A.
digitalmente da: Xxxxxx Xxxxx Xxxxx Xxxxx Xxxx
7/07/2022 15:42:59
Dottori Commercialisti e degli Esperti Contabili
ldoi Foggia
Firmato digitalmente da: XXXXXXXXX XXXXXXXX Xxxx: 01/08/2022 12:34:51
APPENDICE AL CONTRATTO PER IL TRATTAMENTO DEI DATI PERSONALI
Ambito del trattamento dei Dati Personali
Il presente allegato definisce l’ambito del trattamento dei Dati Personali in titolarità del Cliente
1. Titolare del trattamento
L’Ordine degli_Dottori Commercialisti e degli Esperti Contabili
Oggetto del trattamento
di _Foggia ,
Attribuzione dell’incarico di Ufficio di Registrazione per il rilascio di Certificati digitali di Autenticazione CNS e di Certificati di firma digitale “con ruolo”.
2. Durata del trattamento
Durata del contratto
3. Natura e scopo del trattamento
Trattamento dei dati personali degli iscritti all’Ordine per consentire loro di poter richiedere il rilascio della CNS e del Certificato di firma digitale con Ruolo.
4. Tipologie di Dati Personali trattati e categorie interessati
• dati anagrafici e identificativi (e.g., nome, cognome, codice fiscale, partita IVA);
• dati di contatto, quali indirizzo di residenza o domicilio, indirizzo di posta elettronica, numero di telefono;
• documento identità;
• iscrizione Albo;
Luogo e data
27/07/2022
Roma
Visura S.p.A. digitalmente da: Xxxxxx Xxxxx Xxxxx Vingol oma 7/07/2022 15:42:54 | Il Consiglio dell’Ordine degli\dei oDottori Commercialisti e degli Esperti Contabili di Foggia Firmato digitalmente da: SENERCH |
Firmato Luogo: R Data: 2
Data: 01/08/2022 12:34:52
IA XXXXXXXX