CONVENZIONE PER L’ADESIONE DEI SOGGETTI PRIVATI FORNITORI DI SERVIZI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
CONVENZIONE PER L’ADESIONE DEI SOGGETTI PRIVATI FORNITORI DI SERVIZI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
(DT n. 166/2019)
TRA
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
L’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n. 97735020584, in persona del Direttore Generale e legale rappresentante pro tempore, con sede in Roma alla Via Xxxxx 21,
E
La Società ,
con sede in prov. ( ), indirizzo:
c.a.p.: , codice fiscale / partita IVA: , nella persona del
,
PREMESSO CHE
a) l’articolo 64, comma 2 bis del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”) utilizzabile da persone fisiche e giuridiche, come chiarito dall’art. 61, comma 2, lettera d) del D.Lgs. 179/2016 (di seguito “Utenti”);
b) nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il D.P.C.M.
24 ottobre 2014, adottato a norma dell’art. 64, comma 2 sexies del CAD, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM);
c) il DPCM stabilisce le caratteristiche dello SPID, consentendo agli Utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
d) l’art. 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata svolgere le seguenti attività:
- gestire l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
- curare l’aggiornamento del Registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’Utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
- stipulare apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
1/8
e) l’art. 13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4”;
f) l’art. 15, comma 1, del DPCM stabilisce che “Non possono aderire allo SPID i soggetti privati fornitori di servizi il cui rappresentante legale, soggetto preposto all'amministrazione o componente di organo preposto al controllo, risulta condannato con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici”;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
g) l’art. 15, comma 2, del DPCM stabilisce che “Ai sensi dell'articolo 64, comma 2- quinquies, del CAD i soggetti privati che aderiscono allo SPID per la verifica dell'accesso ai servizi erogati in rete, nel rispetto del presente decreto e dei regolamenti attuativi adottati dall'Agenzia ai sensi dell'articolo 4, soddisfano gli obblighi di cui all'articolo 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la comunicazione del codice identificativo dell'identità digitale utilizzata dall'Utente”;
h) l’art. 15, comma 3, del DPCM stabilisce che “Nella convenzione che i fornitori di servizi privati stipulano con l'Agenzia, nell'ambito dei regolamenti attuativi di cui all'articolo 4, possono essere regolati i corrispettivi dovuti dai fornitori di servizi ai gestori dell'identità digitale e ai gestori degli attributi qualificati per i servizi di verifica”;
i) l’art. 1 lettera l) del DPCM definisce i gestori dell’identità digitale come “le persone giuridiche accreditate allo SPID che, previa identificazione certa dell’Utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo Utente al fine della sua identificazione informatica. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi necessari a gestire l’attribuzione dell’identità digitale degli Utenti, la distribuzione e l’interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l’autenticazione informatica degli Utenti”;
j) l’art. 1 lettera i) del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli Utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’Utente ai gestori dell’identità e ne ricevono l'esito”;
k) l’art. 1 lettera i) del DPCM stabilisce, inoltre, che “i fornitori di servizi, nell'accettare l’identità digitale, non discriminano gli Utenti in base al gestore dell’identità digitale che l'ha fornita”;
l) con le Determinazioni AgID n. 44 del 28 luglio 2015 e n. 189 del 22 luglio 2016, sono stati emanati e in seguito parzialmente integrati e modificati i seguenti Regolamenti previsti dall’art. 4, commi 2 e 3 del DPCM, ai quali la presente Convenzione fa espresso riferimento:
- il Regolamento recante le modalità attuative per la realizzazione dello SPID;
- il Regolamento recante le regole tecniche;
- il Regolamento recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale;
- il Regolamento recante le procedure per consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
m) in base a quanto previsto, l’AgID, nella prima fase di avvio a regime del circuito SPID, ha predisposto uno schema di Convenzione per l’adesione dei soggetti privati
fornitori di servizi. La Convenzione è soggetta a revisione e modifiche, con le procedure appositamente previste dalla stessa, in relazione all’evoluzione tecnica e normativa dello SPID.
TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto e finalità della Convenzione
1. La presente Convenzione disciplina il rapporto fra AgID e la società
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
in qualità di soggetto privato fornitore di servizi erogati in rete (di seguito “Fornitore di Servizi”) nell’ambito del Sistema pubblico di identità digitali (SPID) per l’espletamento da parte del Fornitore di Servizi stesso di tutte le attività necessarie per l’adesione a SPID e l’utilizzo di SPID (di seguito e negli allegati: “Convenzione”).
2. Sottoscrivendo la presente Convenzione, il Fornitore di Servizi si impegna a rispettare la normativa vigente che disciplina lo SPID nonché le regole e i relativi aggiornamenti emanati da AgID.
3. Entro il termine di dieci giorni dalla stipula della presente Convenzione, XxXX dispone l’iscrizione del Fornitore di Servizi nell’apposito registro di cui all’art.1, comma 1, lett. s) del DPCM.
4. L’utilizzo di SPID da parte dei Fornitori di Servizi è subordinato alla formalizzazione di un apposito contratto con i Gestori delle Identità digitali (di seguito “Gestori”), che costituisce l’allegato 2 alla presente Convezione e attraverso il quale viene disciplinato l’utilizzo dei servizi di identificazione e autenticazione degli Utenti. Tale contratto non potrà avere durata maggiore della Convenzione.
5. Alla presente Convenzione vengono allegati, quali parti integranti e sostanziali della stessa, un addendum esplicativo ed integrativo (di seguito “Addendum”, all. 1), il contratto standard per adesione, che disciplina i rapporti tra il Fornitore di Servizi e i Gestori e che verrà sottoscritto dal Fornitore di Servizi per adesione e da AgID per ricezione dell’adesione (di seguito “Contratto”, all. 2), il documento recante gli indicatori di qualità e i livelli di servizio (all. 3) nonché il tariffario dei servizi resi dai Gestori ai Fornitori di Servizi (all. 4).
Art. 2 - Obblighi del Fornitore di Servizi
1. Il Fornitore di Servizi, a seguito dell’iscrizione nel Registro SPID, si obbliga:
a) a comunicare ad AgID e mantenere aggiornato l’elenco dei servizi qualificati erogati in rete e le informazioni tecniche richieste da AgID per consentire la fruizione degli stessi previa autenticazione SPID;
b) a comunicare ad AgID, per ciascuno dei servizi compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio;
c) a inviare ad AgID una sintetica nota che, ai sensi di quanto previsto dall’art.6, comma 5, del DPCM e dall’art.3, comma 1, lett. b), del Regolamento AgID sulle modalità attuative, fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi (identificativi, non identificativi e qualificati) richiesti per ciascuno dei servizi erogati;
d) a porre in essere ogni attività strumentale all’adesione allo SPID e connessa al corretto accesso al Registro, nel rispetto delle modalità definite da AgID in conformità al Regolamento recante le regole tecniche;
e) a rispettare quanto specificato nel Regolamento sulle modalità attuative e relativi rimandi con riferimento all’uso degli elementi grafici identificativi dello SPID;
f) a comunicare tempestivamente all’indirizzo P.E.C. di AgID xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione;
g) a informare immediatamente, nel caso in cui rilevi un uso anomalo di un’identità digitale, sia l’AgID sia il Gestore dell’identità digitale che l’ha rilasciata;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
h) a vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003 n. 196 e successive modifiche e integrazioni, in particolare per quanto concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, il Fornitore di Servizi si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’Utente;
i) a registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
j) a garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al Decreto del Ministro dell’Industria, del Commercio e dell’Artigianato 30 novembre 1993 n. 591, con una differenza non superiore ad un minuto primo;
k) a garantire la disponibilità delle funzioni e l’applicazione dei modelli architetturali secondo le disposizioni previste dal DPCM e dai Regolamenti attuativi AgID;
l) ad assistere l’Utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il Gestore delle identità digitali coinvolto nella transazione (assistenza tecnica). Il Fornitore di Servizi è responsabile della presa in carico della issue (fase – accoglienza), quindi della Verifica Incident e gestione della richiesta di assistenza. In particolare il Fornitore di Servizi interviene in caso di errore relativo ad accesso e fruizione del servizio, crash del sistema e procedura di autenticazione, network. L’attività di assistenza del Fornitore di Servizi è in parte indirizzata dai Gestori, i quali forniscono una tabella descrittiva degli errori e annesse soluzioni, uno strumento di supporto FAQ online e un manuale Utente;
m) a svolgere attività di informazione e comunicazione nei confronti dell’Utente in coerenza con i tempi e i contenuti della comunicazione definiti da AgID.
2. Il Fornitore di Servizi, inoltre, si impegna a collaborare con XxXX nell’attività di monitoraggio e controllo e, in particolare, si obbliga:
a) a comunicare al Garante per la protezione dei dati personali e ad AgID - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;
b) ad inviare ad AgID, in forma aggregata, i dati da questa richiesti a fini statistici, che possono essere resi pubblici in forma aggregata; AgID, prima della pubblicazione, verifica che i dati resi pubblici siano effettivamente anonimi nel loro complesso, individuando la presenza di eventuali outlier statistici generati durante le fasi di analisi;
c) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui alla presente Convenzione.
Art. 3 – Condizioni economiche per il Fornitore di Servizi
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
1. Il Fornitore di Servizi si impegna a riconoscere ai Gestori un corrispettivo per l’erogazione dei servizi di identificazione e autenticazione degli Utenti ai propri servizi online, come regolato dal Contratto (all. 2) e dall’allegato 4 alla presente Convenzione, i quali disciplinano il rapporto con i Gestori anche con riguardo agli aspetti economici, ai corrispettivi economici, al periodo di adesione minima al servizio ed al ciclo di fatturazione, alle modalità di tariffazione, ai tempi e alle modalità per l’aggiornamento dei prezzi.
Art. 4 – Informazioni e rapporti con l’Utente
1. Il Fornitore di Servizi assicura agli Utenti la piena informazione sulle modalità di prestazione dei servizi erogati; in particolare:
a) rende noto agli Utenti, tramite appositi avvisi e materiale informativo chiaro e facilmente leggibile, le condizioni economiche e tecniche per l’erogazione dei servizi;
b) fornisce adeguata informazione agli Utenti in merito a ogni eventuale variazione delle modalità di erogazione del servizio;
c) cura la pubblicazione di testi riportanti gli atti che disciplinano l’erogazione dei servizi e che regolano i rapporti con gli Utenti. Le modificazioni che si renderanno successivamente necessarie saranno inserite nei testi esistenti e saranno adeguatamente divulgate;
d) predispone appositi strumenti di informazione, tramite l’attivazione di linee di comunicazione telefoniche e telematiche, di cui verifica periodicamente il buon funzionamento.
2. Il Fornitore di Servizi, con riferimento al trattamento dei dati personali, ai sensi dell’art. 13 del DPCM 24 ottobre 2014, si impegna a informare gli Utenti con modalità semplici e chiare che l’identità digitale e gli eventuali attributi identificativi forniti ai fini dell’accesso ai servizi sono verificati, rispettivamente, presso i gestori dell’identità digitale e i gestori degli attributi qualificati, dando evidenza altresì di quali attributi identificativi, anche qualificati, siano necessari per accedere al servizio, in ottemperanza all’obbligo di informativa di cui all’articolo 13 del D.Lgs. 196/2003.
Art. 5 – Compiti dell’Agenzia per l’Italia Digitale
1. AgID cura l’attivazione dello SPID, svolgendo, in particolare, le seguenti attività:
a) gestisce l’accreditamento dei Gestori dell’identità digitale e dei Gestori di attributi qualificati nonché l’adesione delle Pubbliche Amministrazioni e dei privati in qualità di Fornitori di Servizi, stipulando con essi apposite convenzioni;
b) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
c) cura l’aggiornamento del registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, nei casi previsti dal DPCM 24 ottobre 2014 e tramite il gestore dell'identità digitale, i dati identificativi dell’Utente e verificare le modalità con cui le identità digitali sono
state rilasciate e utilizzate.
2. AgID, nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche e dati aggregati sullo SPID;
b) riceve da tutti i soggetti di cui all’art. 3, comma 1, del DPCM le segnalazioni di malfunzionamenti, ivi compresi i disservizi o incidenti di sicurezza, relativi all’utilizzo delle identità digitali;
c) trasmette ai soggetti di cui all’art. 3, comma 1, del DPCM ogni informazione rilevante per la propria attività;
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
d) effettua controlli presso le sedi amministrative ed operative dei soggetti pubblici e privati accreditati ed iscritti al registro dei Gestori SPID;
e) richiede ai Fornitori di Servizi atti e documenti, convoca riunioni con gli amministratori e i dirigenti degli stessi;
f) valuta l’applicazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
g) valuta l’attuazione degli standard di qualità del servizio adottati e indica, se del caso, le correzioni da apportare;
h) segnala al Fornitore di Servizi le eventuali difformità riscontrate;
i) valuta l’adeguatezza delle procedure di reclamo e delle misure di ristoro attuate nel caso di pregiudizio arrecato all’Utente;
j) emana, attraverso il Tavolo SPID sulla Comunicazione, le linee guida concernenti la promozione, adozione e diffusione del sistema SPID;
k) promuove l’adozione delle misure dirette alla semplificazione del rapporto tra il Fornitore di Servizi e gli Utenti;
l) acquisisce dati e informazioni sul gradimento degli Utenti;
m) rende pubblici annualmente i risultati del proprio lavoro.
Art. 6 – Trattamento dei dati
1. Il Fornitore di Servizi si impegna a trattare i dati personali che acquisisce dal Gestore nell’ambito del servizio di verifica dell’identità digitale, nel rispetto del principio di finalità, necessità, pertinenza e non eccedenza dei dati trattati, oltre che nel rispetto delle altre garanzie fissate dal Codice in materia di protezione dei dati personali e per le finalità previste dall’art. 64 del CAD e dall’art. 2, comma 2, del DPCM, secondo le modalità fissate nei Regolamenti attuativi dell’AgID e, in ogni caso, nel rispetto di quanto disposto dal D.Lgs. 196/2003.
2. In conformità a quanto previsto dal DPCM 24 ottobre 2014 e dai Regolamenti attuativi del sistema SPID, adottati dall’Agenzia e nel rispetto del D.Lgs. 196/2003, in nessun caso il Fornitore di Servizi potrà conservare gli attributi ricevuti dal Gestore nelle sessioni di autenticazione per fini diversi dalla prestazione del servizio per il quale l’accesso è stato effettuato.
Art. 7 – Vigilanza
1. Con l’adesione al sistema SPID per la prestazione dei propri servizi, il Fornitore di Servizi si sottopone all’attività di vigilanza di AgID. AgID esercita i propri poteri di vigilanza e sanzionatori in conformità con quanto previsto dal CAD, dal DPCM, dai Regolamenti attuativi SPID, dalla presente Convenzione nonché dalla normativa comunque applicabile.
2. Ai fini della vigilanza, XxXX esegue l’attività ispettiva con propri incaricati e con
l’eventuale collaborazione di personale del Garante per la protezione dei dati personali. Il Fornitore di Servizi si impegna a trasmettere i dati e documenti richiesti, a consentire l’accesso ai propri locali a tali soggetti e a fornire agli stessi tutto il supporto necessario per l’esecuzione dell’attività ispettiva.
Art. 8 – Durata, modifiche e integrazioni
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
1. La presente Convenzione ha durata quinquennale a decorrere dalla sua sottoscrizione da parte dell’AgID e si rinnoverà tacitamente alla scadenza per la medesima durata. Le parti potranno manifestare la volontà di non rinnovare la presente Convenzione, inviando all’altra parte, a mezzo p.e.c., formale comunicazione in tal senso entro il termine di un mese prima della data di rinnovo.
2. La presente Convenzione è unica per tutti i Fornitori di Servizi. Modifiche e/o integrazioni saranno possibili una volta che sia stato acquisito, ove ne ricorrano i presupposti e ritenuto necessario da XxXX, il parere del Garante per la protezione dei dati personali ed eventualmente di altre Autorità competenti, in presenza di accordo delle parti oltre che in tutti i casi in cui sia necessario adeguarne il contenuto al mutamento della normativa e dei Regolamenti adottati da AgID.
Art. 9 – Figure di riferimento per l’attuazione della Convenzione
1. Sia l’AgID sia il Fornitore di Servizi nominano un proprio Referente, ai fini della corretta applicazione della presente Convenzione e della gestione delle relative comunicazioni.
2. AgID pubblica sul proprio sito istituzionale, nell’apposita sezione SPID, il nome del proprio Referente e il relativo indirizzo di Posta Elettronica Certificata (PEC); il Fornitore di Servizi nomina quale proprio Referente:
, recapito P.E.C.: ;
3. Le parti si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei Referenti SPID.
Art. 10 – Inadempimento e risoluzione della Convenzione
1. Quando, nell’attività di valutazione, controllo o vigilanza, vengano riscontrati inadempimenti del Fornitore di Servizi agli obblighi assunti con la sottoscrizione della presente Convenzione e relativi allegati nonché agli altri obblighi previsti dal DPCM e dai Regolamenti attuativi AgID, l’Agenzia invia una contestazione prescrivendo, ove necessario, le attività che devono essere poste in essere al fine del ripristino della regolarità del servizio reso agli Utenti.
2. Nel caso di violazioni di particolare gravità oppure di mancato adeguamento del Fornitore di Servizi alle prescrizioni richieste, AgID, decorso il termine assegnato per conformarsi a quanto prescritto, ha diritto di dichiarare risolta ipso jure la presente Convenzione.
3. Il Fornitore di Servizi è tenuto al risarcimento dei danni, derivanti da dolo o negligenza nell’esercizio della propria attività, agli utenti, ad AgID e ai terzi. È altresì tenuto al risarcimento dei danni laddove gli stessi siano stati prodotti nell’esercizio dell’attività, per il venir meno dei requisiti o perché non si è adeguato alle prescrizioni impartite da AgID o previste nella Convenzione.
4. Nel caso in cui il Fornitore di Servizi cessi la propria attività, la presente Convenzione è risolta ipso jure.
Art. 11 – Disposizioni finali
1. La presente Convenzione produce i suoi effetti a decorrere dalla data di sottoscrizione da parte dell’Agenzia per l’Italia Digitale.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
Schema convenzione non utilizzabile per la sottoscrizione. Fare riferimento al sito dell'AgID xxx.xxxx.xxx.xx
3. In relazione a qualunque controversia che insorga tra le parti in ordine all’interpretazione, esecuzione e risoluzione della presente Convenzione, le parti si impegnano a ricercare un componimento bonario della vertenza prima di adire i competenti organi giurisdizionali. Sono fatte salve le disposizioni normative e regolamentari, sostanziali e processuali, relative ai poteri sanzionatori dell’AgID.
Data
per l’AgID
Firmato digitalmente
per la società Firmato digitalmente da
Il Direttore Generale