CONVENZIONE PER L’ADESIONE DEI FORNITORI DI SERVIZI PRIVATI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
Logo società
CONVENZIONE PER L’ADESIONE DEI FORNITORI DI SERVIZI PRIVATI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
Il <giorno> del mese di <mese> dell’anno <anno>
TRA
L’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n. 97735020584, in persona del Direttore e legale rappresentante pro tempore, xxxx. Xxxxxxx Xxxxxxxxxx, nato a Torino il 08/10/1963, con sede in Roma alla Via Xxxxx 21,
e
La Società <denominazione>, con sede in <indirizzo sede>, codice fiscale / partita IVA <CF | P.IVA, nella persona del legale rappresentante <ruolo>,
<nominativo>,
PREMESSO CHE
a) l’articolo 64 del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”);
b) l’articolo 64, comma 2-quater del CAD stabilisce che “Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies”;
c) l’articolo 64, comma 2-sexies del CAD stabilisce che “Con decreto del Presidente del Consiglio dei ministri, [OMISSIS], sono definite le caratteristiche del sistema SPID, anche con riferimento:
a) al modello architetturale e organizzativo del sistema;
b) alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale;
c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identità digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1;
d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;
e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;
f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete”;
d) nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il DPCM 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM);
e) il DPCM stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
f) l’art. 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata svolgere le seguenti attività:
- gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
- cura l’aggiornamento del Registro SPID e vigila sull’operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’utente e verificare le modalità con
cui le identità digitali sono state rilasciate e utilizzate;
- stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità.
g) l’art. 13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4“;
h) l’art. 15, comma 1, del DPCM stabilisce che “Non possono aderire allo SPID i soggetti privati fornitori di servizi il cui rappresentante legale, soggetto preposto all'amministrazione o componente di organo preposto al controllo risulta condannato con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici”.
i) l’art. 15, comma 2, del DPCM stabilisce che “Ai sensi dell'articolo 64, comma 2-quinquies, del CAD. i soggetti privati che aderiscono allo SPID per la verifica dell'accesso ai servizi erogati in rete, nel rispetto del presente decreto e dei regolamenti attuativi adottati dall'Agenzia ai sensi dell'articolo 4, soddisfano gli obblighi di cui all'articolo 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la comunicazione del codice identificativo dell'identità digitale utilizzata dall'utente.”
j) l’art. 15, comma 3, del DPCM stabilisce che “Nella convenzione che i fornitori di servizi privati stipulano con l'Agenzia, nell'ambito dei regolamenti attuativi di cui all'articolo 4, possono essere regolati i corrispettivi dovuti dai fornitori di servizi ai gestori dell'identità digitale e ai gestori degli attributi qualificati per i servizi di verifica.”
k) l’art. 1 lettera i) del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 0, xxxxx 0, xxxxxxx x) , xxx xxxxxxx legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità e ne ricevono l'esito”;
l) l’art. 1 lettera i) del DPCM stabilisce, inoltre, che “i fornitori di servizi, nell'accettare l’identità digitale, non discriminano gli utenti in base al gestore dell’identità digitale che l'ha fornita”;
m) con Determinazione AgID n. 44/2015 del 28 luglio 2015, sono stati emanati i regolamenti previsti dall’art. 4, commi 2 e 3, DPCM, tra i quali rientrano:
- le regole tecniche e delle modalità attuative per la realizzazione dello SPID;
- le modalità di accreditamento dei soggetti SPID;
- le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
o) con Determinazione AgID n. 32/2016 del 16 febbraio 2016, è stato emanato lo schema di convenzione con i fornitori di identità;
p) con Determinazione AgID n. 40/2016 del 23 febbraio 2016, è stato emanato lo schema di convenzione con le pubbliche amministrazioni in qualità di gestori di servizi.
TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto e finalità della convenzione
1. La presente Convenzione disciplina il rapporto fra AgID e il Fornitore di servizi privati <denominazione> (di seguito “Service Provider”) nell’ambito del Sistema pubblico di identità digitali (SPID) per l’espletamento da parte del Service Provider di tutte le attività necessarie per l’adesione a SPID e l’utilizzo di SPID come mezzo di identificazione degli utenti, autenticazione e autorizzazione per l’accesso ai servizi del Service Provider.
2. L’erogazione dei servizi offerti dai Gestori delle Identità digitali (di seguito Identity Provider) quali: identificazione degli utenti, autenticazione e
autorizzazione è subordinata alla formalizzazione del rapporto tra Identity Provider e Service Provider con apposito contratto. Tale contratto non potrà avere durata maggiore della Convenzione.
3. Sottoscrivendo il presente atto, il Service Provider si impegna a rispettare la normativa vigente che disciplina lo SPID, nonché le regole e i relativi aggiornamenti emanati da AgID.
4. Entro il termine di dieci giorni dalla stipula della presente Convenzione, XxXX dispone l'iscrizione del Service Provider nell’apposito registro di cui all’art.1, comma 1, lett. s) del DPCM.
5. Alla Convenzione sarà allegato uno schema di contratto al fine di consentire ai Service Provider di valutare le condizioni di erogazione dei servizi da parte dei singoli Identity Provider.
Art. 2 - Obblighi del Service Provider
1. Il Service Provider, a seguito dell’iscrizione nel Registro SPID, si obbliga:
a) a comunicare ad AgID l’elenco dei servizi attivi anche nel formato metadata specificato nel Regolamento recante le regole tecniche SPID; tale elenco dovrà essere costantemente aggiornato e pubblicato sul sito istituzionale del Service Provider alla URL <URL della pagina di pubblicazione>;
b) a comunicare ad AgID, per ciascuno dei servizi compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio;
c) a comunicare ad AgID, per ciascuno dei servizi compresi nell’elenco, il Livello di Sicurezza previsto e la lista delle attività ammesse all’utente per Livello di Sicurezza
d) a porre in essere ogni attività strumentale all’adesione allo SPID e connessa al corretto accesso al Registro, nel rispetto delle modalità definite da AGID in conformità al Regolamento recante le regole tecniche;
e) a rispettare quanto specificato nel Regolamento sulle modalità attuative e relativi rimandi con riferimento all’uso degli elementi grafici identificativi dello SPID;
f) a comunicare tempestivamente all’indirizzo <PEC AgID> ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione;
g) a vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n. 196, in particolare per quanto concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, il Service Provider si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;
h) a registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
i) a garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’Industria del commercio ed artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo;
j) a garantire la gestione sicura delle componenti riservate delle identità digitali dei singoli utenti, assicurando che le stesse non siano rese disponibili a terzi, ivi compresi altri fornitori di servizi, neppure in forma cifrata;
k) a garantire la disponibilità delle funzioni, l'applicazione dei modelli
architetturali secondo le disposizioni previste dal DPCM e dai Regolamenti attuativi AgID;
l) ad assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il gestore delle identità digitali coinvolto nella transazione (help desk di secondo livello). Il Service Provider è responsabile della presa in carico della issue (fase – accoglienza), quindi della Verifica Incident e gestione della richiesta di assistenza. In particolare il Service Provider interviene in caso di errore relativo ad accesso e fruizione del servizio, crash del sistema e procedura di autenticazione, network. L’attività di assistenza del service Provider è in parte indirizzata dagli Identity Provider, i quali, forniscono una tabella descrittiva degli errori e annesse soluzioni, uno strumento di supporto FAQ Online e un manuale utente;
m) a svolgere attività di informazione e comunicazione nei confronti dell’utente in coerenza con i tempi e i contenuti della comunicazione definiti da AgID.
2. Il Service Provider, inoltre, si impegna a collaborare con XxXX nell’attività di monitoraggio e controllo e, in particolare, si obbliga:
a) a comunicare - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e ad AgID eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale;
b) ad inviare ad AgID, in forma aggregata, i dati da questa richiesti a fini statistici, che possono essere resi pubblici in forma aggregata;
c) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui alla presente Convenzione.
Art. 3 – Condizioni economiche per il Service Provider
1. Il Service Provider si impegna a riconoscere agli Identity Provider un prezzo per l’erogazione dei servizi di identificazione, autenticazione e autorizzazione degli utenti ai propri servizi online. Lo schema di contratto che il Service Provider stipulerà con gli Identity provider regolerà gli aspetti economici, i parametri di prezzo, il periodo di adesione minima al servizio ed il ciclo di fatturazione, le modalità di tariffazione, tempi e modalità per l’aggiornamento dei prezzi.
2. Nella definizione dello schema di contratto XxXX si atterrà alle indicazioni dell’Autorità per la concorrenza ed il mercato.
Art. 4 – Informazioni e rapporti con l’utente
1. Il Service Provider assicura agli utenti la piena informazione sulle modalità di prestazione dei servizi erogati; in particolare:
a) rende noto agli utenti, tramite appositi avvisi e materiale informativo chiaro e facilmente leggibile, le condizioni economiche e tecniche per l'erogazione dei servizi;
b) fornisce adeguata informazione agli utenti in merito ad ogni eventuale variazione delle modalità di erogazione del servizio;
c) cura la pubblicazione di testi riportanti gli atti che disciplinano l'erogazione dei servizi e che regolano i rapporti con gli utenti. Le modificazioni che si renderanno successivamente necessarie saranno inserite nei testi esistenti e saranno adeguatamente divulgate;
d) predispone appositi strumenti di informazione, tramite l'attivazione di linee di comunicazione telefoniche e telematiche, di cui verifica
periodicamente il buon funzionamento.
Art. 5 – Compiti dell’Agenzia per l’Italia Digitale
1. AgID cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti attività:
e) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
f) stipula convenzioni con le pubbliche amministrazioni ed i privati in qualità di fornitori di servizi;
g) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell'identità digitale, i dati identificativi dell'utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
h) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità.
2. AgID nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche e dati aggregati sullo SPID;
b) riceve da tutti i soggetti di cui all’art. 3, comma 1, del DPCM le segnalazioni di malfunzionamenti o incidenti di sicurezza;
c) trasmette ai soggetti di cui all’art. 3, comma 1, del DPCM ogni informazione rilevante per la propria attività;
d) valuta l’applicazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
e) segnala al Service Provider le eventuali difformità riscontrate;
f) promuove l'adozione di criteri per rendere omogenei e congruenti a livello nazionale l’uso dei livelli di credenziali;
g) rende pubblici annualmente i risultati del proprio lavoro.
Art. 6 – Trattamento dei dati
1. Il Service Provider si impegna a trattare i dati personali nell’ambito dell’erogazione del servizio di identità digitale nel rispetto del principio di necessità e delle altre garanzie fissate dal Codice sulla protezione dei dati personali e per le finalità previste nell’art. 64 del CAD e nell’art. 2, comma 2, del DPCM, secondo le modalità fissate nei Regolamenti attuativi dell’AgID.
2. Il Service Provider non può riutilizzare i dati conservati se non ai fini di quanto previsto dalla normativa SPID.
3. Il Service Provider è impossibilitato a vendere o cedere a terzi i dati ottenuti tramite SPID
4. Il Service Provider è impossibilitato a vendere a terzi servizi di profilatura e/o più in generale servizi commerciali basati sulla conoscenza dei dati personali
5. Il Service Provider è legittimato alla profilazione dell’utente ai soli fini commerciali del Service Provider e limitatamente ai consensi relativi al trattamento dei dati personali secondo le vigenti regole sulla privacy.
Art. 7 – Durata, modifiche e integrazioni
1. La presente Convenzione ha durata quinquennale, a decorrere dalla sua sottoscrizione da parte dell’AgID, e non può essere oggetto di rinnovo tacito.
2. La presente convenzione è unica per tutti i Service Provider. Modifiche e/o integrazioni saranno possibili, acquisito il parere del Garante per la protezione dei dati personali, in presenza di accordo delle parti oltre che in tutti i casi sia necessario adeguarne il contenuto al mutamento della normativa e dei Regolamenti adottati da AgID.
Art. 8 – Figure di riferimento per l’attuazione della convenzione
1. Sia l’AgID sia il Service Provider nominano un proprio Referente che vigilano sulla corretta applicazione della presente convenzione.
2. AgID nomina quale proprio referente <nome referente AgID>, recapito pec
<indirizzo PEC dedicato>, mentre il Service Provider nomina quale proprio referente <nome referente Service Provider>, recapito pec <indirizzo PEC Service Provider>.
3. Le parti delegano i rispettivi “Referenti SPID” ad eseguire e ricevere ogni comunicazione conseguente alla stipula della presente convenzione e si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei referenti.
Art. 9 – Inadempimento e risoluzione della Convenzione
1. Quando nell’attività di valutazione, controllo o vigilanza, vengano riscontrati inadempimenti del Service Provider, degli obblighi assunti con la presente Convenzione, AgID invia una contestazione, prescrivendo ove necessario le attività che devono essere poste in essere al fine del ripristino della regolarità del servizio reso agli utenti.
2. Nei casi di violazione di particolare gravità oppure nel caso di mancato
adeguamento del Service Provider alle prescrizioni richieste, XxXX nel termine assegnato ha diritto di dichiarare risolta ipso jure la presente convenzione.
3. Il Service Provider potrà abbandonare SPID prima della scadenza della Convenzione con congruo preavviso e previa comunicazione agli utenti
4. Nel caso in cui il Service Provider cessi la propria attività la presente convenzione è risolta ipso jure.
Art. 10 – Disposizioni finali
1. La presente convenzione produce i suoi effetti a far data dalla data di sottoscrizione da parte del legale rappresentante p.t. dell’Agenzia per l’Italia Digitale.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
Firmato digitalmente da AgID Firmato digitalmente da …
Xxxx. Xxxxxxx Xxxxxxxxxx <nome legale rappresentante>