Allegato Tecnico
Allegato Tecnico
FEDERA GW-IDP SPID
1
Nota di lettura 5
1. Premessa 5
2. Descrizione del Servizio 5
2.1. Definizioni e acronimi 5
2.2. Descrizione generale 7
3. Servizio di gestore di Identità Digitali SPID 8
3.1. Descrizione del servizio offerto 8
3.2. Attivazione degli sportelli 11
3.2.1. Processo di attivazione di sportelli 11
3.2.2. Dati e condizioni necessarie 12
3.2.3. Obblighi degli Enti per le attività di sportello 14
3.2.4. Sicurezza e riservatezza 14
3.3. Trattamento dei dati personali 15
4. Esercizio del servizio 15
4.1. Accordo di contitolarità 16
4.2. Template Lettera impegno Operatori sportello 24
4.3. Accordo per trattamento di dati personali 25
5. Servizio di Gateway FedERa 33
5.1. Descrizione del servizio offerto 34
5.2. Attivazione dei servizi 35
5.2.1. Processo di attivazione 35
5.3. Livelli di servizio per l’attivazione 36
5.4. Obblighi degli Enti come Aggregati SPID 37
6. Esercizio del servizio 37
6.1. Disponibilità del servizio 37
6.2. Assistenza in esercizio 38
6.2.1. Gestione e manutenzione 39
6.2.2. Help Desk 39
6.2.3. Livelli di servizio 39
6.3. Protezione dei dati personali 40
6.4. Documentazione tecnica 41
release 201
data 21.04.2023
redazione documento Xxxxxxx Xxxxxxxxxxxx
verifica documento Xxxxxxx Xxxxxxxxxxxx, Xxxxxxxx Xxxxxxxx approvazione documento Xxxxxxxx Xxxxxxx
Nota di lettura
LepidaScpA, di seguito Lepida, si riserva la facoltà di poter intervenire sulle misure tecniche e organizzative descritte nel presente documento, al fine di rendere il sistema conforme alle successive indicazioni normative che dovessero subentrare in argomento. Si riserva inoltre di intervenire per la correzione di meri errori materiali o refusi.
1. Premessa
Il presente documento è aggiornato a seguito dell’ottenimento da parte di Lepida dell’accreditamento come Gestore di Identità DIgitale (Identity Provider IDP SPID) e al perfezionamento della Convenzione che disciplina il rapporto nell’ambito di SPID (Sistema Pubblico di Identità Digitale) tra Lepida e l’Agenzia per l’Italia Digitale (AgID) alla fine del 2018 e della sottoscrizione della Convenzione per l’adesione dei soggetti aggregatori di servizi pubblici al sistema pubblico per le identità digitali di inizio 2021.
2. Descrizione del Servizio
2.1. Definizioni e acronimi
● CNER - Con la Delibera DGR 758/2013 è stata approvata la Nuova convenzione per il funzionamento, la crescita e lo sviluppo della Community Network Xxxxxx-Romagna (CNER) per creare le condizioni organizzative per dare attuazione alle finalità e ai progetti contenuti nel Piano Telematico dell’Xxxxxx-Romagna, ora ADER Agenda Digitale dell’Xxxxxx-Romagna, è un’aggregazione territoriale su base regionale (Art. 30 TUEL), con propria sede (presso la sede della Regione Xxxxxx-Romagna, cui è conferito potere di rappresentanza della CNER stessa), con una governance solida e partecipata, affidata al “Comitato Permanente di Indirizzo e Coordinamento con gli Enti Locali” (Art. 6, comma 4 LR 11/04), e con uno specifico ruolo attivo da parte della Società Lepida
● CPI - Il Comitato Permanente di Indirizzo e Coordinamento con gli Enti Locali, istituito con la LR n.11/2004 e successive modifiche e integrazioni, è organismo
della Community Network dell'Xxxxxx-Romagna
● Utente - Soggetto al quale viene rilasciata un’identità digitale con la quale potrà richiedere l’accesso ai servizi erogati dal Service Provider (SP); l’utente in tale contesto opera per il tramite del proprio browser
● Service Provider (SP) - Soggetto che eroga un servizio all’utente che si sia autenticato per il tramite dell’identità digitale rilasciata dall’IdP (Identity Provider). Ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Service Provider è titolare del trattamento dei dati trattati in attuazione delle finalità correlate al servizio pubblicato
● Identity Provider (IdP SPID Lepida) - Soggetto abilitato a rilasciare e gestire un’identità digitale all’utente; l’identità digitale consente all’utente di autenticarsi al Service Provider (SP) il quale, nel rispetto delle normative e del regolamento SPID, potrà consentire l’accesso ai propri servizi erogati. Ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), l’IdP SPID Lepida è titolare del trattamento dei dati trattati ai fini dell’attribuzione dell’identità digitale e di fruizione dei servizi erogati online dai “Fornitori di servizi” tramite il Sistema Pubblico per la gestione dell’Identità Digitale (SPID)
● Identità Digitale - La rappresentazione informatica della corrispondenza biunivoca tra un utente e suoi dati identificativi, verificata attraverso l'insieme delle informazioni raccolte e registrate in forma digitale
● Autenticazione informatica - Verifica effettuata dal gestore dell'identità digitale, su richiesta del fornitore di servizi, della validità delle credenziali di accesso presentate dall'utente al fine di convalidarne l'identificazione informatica
● Gateway (GW) - Il sistema che permette il colloquio tra i service provider e gli identity provider per la verifica dell’identità per l’accesso ai servizi
● Gestore del Gateway - Soggetto che gestisce il Gateway (Lepida); ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Gestore del gateway è titolare del trattamento dei dati
● SPID - Sistema Pubblico dell’Identità Digitale di cittadini e imprese, istituito ai sensi del Codice Amministrazione Digitale (CAD)
● Soggetto aggregatore SPID - Soggetto che offre a terzi (soggetti aggregati SPID) la possibilità di rendere accessibili tramite SPID i relativi servizi
● Soggetto aggregato SPID - Soggetto che utilizza l’infrastruttura FedERa, gestita da Lepida, per interfacciarsi a SPID
● eIDAS - Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 sull’identità digitale - ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri
● CIE 3.0 - Carta d'Identità Elettronica che consente l’accesso ai servizi online della Pubblica Amministrazione.
2.2. Descrizione generale
FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) è l’infrastruttura tecnica e organizzativa della CNER realizzata e gestita da Lepida, su mandato di Regione Xxxxxx-Romagna, sulla base della piattaforma tecnologica FedERa e dei relativi servizi. Il governo della Federazione è demandato alla Regione Xxxxxx-Romagna, alla CNER, la quale opera anche per il tramite del proprio rappresentante al CPI, e a Lepida.
L’evoluzione di FedERa, a seguito dell’accreditamento di Lepida come Gestore di identità digitale nell’ambito di SPID (Identity Provider IDP SPID) e l’avvio dei relativi servizi e della dismissione completa delle identità della federazione FedERa, si traduce in due distinti servizi:
● Servizio di gestore di identità digitali nell’ambito di SPID (LepidaID)
● Servizio di gateway che permette l’accesso ai servizi telematici esposti da Service Provider (SP) utilizzando i servizi di autenticazione offerti dagli IdP SPID, la CIE 3.0, la CNS e, in futuro, eIDAS.
3. Servizio di gestore di Identità Digitali SPID
Lepida è diventata Gestore di identità digitali SPID (IdP SPID), su indicazione della Regione Xxxxxx-Romagna e degli Enti aderenti alla CNER come è ribadito nella Delibera della Giunta Regionale dell’Xxxxxx-Romagna 420/2018, valorizzando l’esperienza FedERa. La scelta di accreditamento di Lepida come IDP SPID nasce principalmente dalla volontà di Regione Xxxxxx-Romagna, e degli Enti pubblici della regione, di valorizzare e consolidare l’oltre milione di identità digitali gratuite FedERa esistenti, largamente conosciute ed utilizzate dai cittadini dell’Xxxxxx-Romagna, e non solo, per l’accesso a qualunque servizio della Pubblica Amministrazione, regionale o nazionale.
Infatti, Lepida ha ottenuto l’accreditamento da parte dell’Agenzia per l’Italia Digitale (AgID) come Gestore di identità digitale e ha avviato il servizio LepidaID (xx.xxxxxx.xx) nella seconda metà di novembre 2018 a seguito del perfezionamento della Convenzione che disciplina il rapporto nell’ambito di SPID tra Lepida e XxXX.
3.1. Descrizione del servizio offerto
Lepida fornisce il servizio di Gestore di identità digitali SPID, denominato LepidaID, attraverso una piattaforma tecnologica e secondo un modello organizzativo gestionale nel rispetto delle modalità attuative e specifiche tecniche SPID e delle relative evoluzioni.
La piattaforma tecnologica, realizzata e gestita da Lepida, è composta logicamente da due componenti: IdP (Identity Provider), che svolge le funzioni di gestione del processo di autenticazione utilizzando il Protocollo SAML 2.0, e IdM (Identity Management), che permette la gestione del ciclo di vita delle identità digitali con opportune interfacce disponibili in base al ruolo dell’utente (cittadino, operatore, amministratore di sistema).
Oltre alle identità digitali SPID ad uso privato Lepida mette a disposizione e gestisce identità digitali SPID ad uso professionale per persona fisica e persona giuridica sulla base delle Linee guida per il rilascio dell'identità digitale per uso professionale di AGID. Per le identità SPID ad uso professionale per persona giuridica, l’Ente socio deve sottoscrivere un apposito Accordo con Lepida che definisce le responsabilità e le modalità di rilascio delle identità digitali ad uso professionale per persona giuridica ai dipendenti dell’organizzazione stessa.
Lepida eroga il servizio secondo il modello SPID, nel rispetto delle regole emesse da XxXX, fornisce le identità digitali e gestisce l’autenticazione degli utenti.
Le identità digitali SPID ad uso privato rilasciate da Lepida sono gratuite e non prevedono costi ricorrenti a carico del cittadino.
Le identità digitali SPID ad uso professionale sono fornite da Lepida dal 1.1.2022 secondo i listini approvati dal CPI e pubblicati sul sito di Lepida.
L’emissione delle identità digitali SPID ad uso privato, e quindi il rilascio delle credenziali LepidaID, avviene a seguito di una richiesta dell’utente (registrazione online) e previa verifica dei dati dell’utente da parte di Lepida o di operatori opportunamente formati e incaricati da Lepida. In alcuni sportelli fisici abilitati la richiesta può avvenire anche tramite la modalità assistita, ovvero con il supporto di un operatore opportunamente formato e abilitato.
Lepida mette a disposizione dei cittadini sei modalità di identificazione.
All’avvio del servizio, Lepida ha reso disponibile un servizio base gratuito per tutti i cittadini italiani con due modalità di identificazione:
1. Identificazione informatica tramite documenti digitali di identità (CIE/ TS CNS)
2. Identificazione informatica tramite firma elettronica qualificata o firma digitale
Tali modalità richiedono una registrazione online da parte del cittadino, una verifica automatica dei dati delle carte digitali o della firma, e una verifica dell’identità del cittadini basata sui documenti di riconoscimento inseriti a sistema. Queste due modalità sono, di norma, gestite da personale di Lepida, adeguatamente formato sul sistema e sulle procedure da seguire, senza ricorrere agli sportelli fisici sul territorio e sfruttando le apposite interfacce messe a disposizione dalle istituzioni competenti per effettuare le verifiche previste.
Lepida rende disponibile gratuitamente per i cittadini anche la modalità di:
3. Identificazione a vista del soggetto richiedente
4. Identificazione informatica tramite CIE 3.0
5. Identificazione con registrazione audio/video e bonifico simbolico
Per l’identificazione a vista del soggetto richiedente, a seguito di una registrazione online oppure di una richiesta di adesione in modalità assistita, sono abilitati gradualmente appositi sportelli fisici, preposti al rilascio delle identità digitali, che sono attivati principalmente e progressivamente nelle sedi degli Enti del territorio, e anche presso altre sedi, per effettuare l’identificazione a vista e l’attivazione dell’identità digitale SPID LepidaID da parte di un operatore.
L’attivazione degli sportelli avviene solo a seguito del completamento della formalizzazione degli accordi e la formazione necessaria a tutti gli operatori per garantire tutti i requisiti di conoscenza e il rispetto delle procedure definite da Lepida.
Per l’identificazione informatica tramite CIE 3.0, il sistema avvia una specifica procedura che consente l’accesso mediante l’utilizzo della CIE 3.0, interfacciandosi con il sito del Ministero dell’Interno.
Per l’identificazione con registrazione audio/video e bonifico, l’utente richiedente deve caricare a sistema una registrazione audio/video realizzata in maniera autonoma e corrispondente alle istruzioni fornite dal sistema. Il rilascio dell’identità digitale SPID LepidaID è subordinata alla ricezione entro 10 giorni da parte di LepidaScpA di uno specifico bonifico di valore simbolico (devoluto in beneficenza alla Protezione Civile), necessario per completare l’identificazione dell’utente, nonché all’esito delle verifiche previste dalle normative.
Infine, Lepida mette a disposizione, a pagamento, la modalità di:
6. Identificazione a vista da remoto (videocomunicazione con operatore) del soggetto richiedente.
L’identificazione a vista da remoto del soggetto richiedente, a seguito di una registrazione online, viene effettuata a cura di personale Lepida, considerando i requisiti qualitativi e quantitativi necessari (ad esempio durata e qualità di registrazione audio/video e relativa conservazione).
Lepida offre inoltre, come servizio aggiuntivo, il servizio di sottoscrizione elettronica di
documenti attraverso l’utilizzo dell’identità digitale SPID LepidaID ai sensi dell’art. 20 del CAD, la cosiddetta “Firma con SPID”. Il servizio è stato realizzato sulla base delle regole tecniche definite da AGID (Regole Tecniche per la sottoscrizione elettronica di documenti) ed è fornito da Lepida dal 1.1.2022 secondo i listini approvati dal CPI.
3.2. Attivazione degli sportelli
L’attivazione, la gestione e l’erogazione del servizio LepidaID è di competenza di Lepida.
I servizi erogati da Lepida, come gestore di identità digitale SPID (LepidaID), sono oggetto di una Convenzione con AgID, come previsto dalle normative, con la descrizione e le caratteristiche dei servizi, ivi compresi gli indicatori di qualità e livelli di servizio.
Il coinvolgimento degli Enti nell’erogazione del servizio LepidaID avviene principalmente nel caso di volontà dell’Ente di attivare sul territorio, a favore dei cittadini, sportelli del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle credenziali nel rispetto delle procedure stabilite da Lepida.
3.2.1. Processo di attivazione di sportelli
L’attivazione di sportelli di un Ente richiede la nomina da parte dell’Ente, e la comunicazione a Lepida, di un proprio referente per il servizio LepidaID che sarà il soggetto titolato a richiedere, attraverso le modalità nel seguito descritte, l’attivazione degli sportelli di competenza dell’Ente e verificarne la corretta implementazione. L’Ente si impegna a comunicare a Lepida il nominativo del proprio referente al momento dell’adesione al servizio nonché tempestivamente ad ogni eventuale variazione del referente precedentemente indicato.
L’Ente deve prendere visione, nell’apposita sezione del sito di Lepida della versione vigente del presente Allegato Tecnico, da intendersi parte integrante del contratto FedERa, che si intende approvato e accettato in ogni sua parte.
Gli operatori individuati dall’Ente e indicati a Lepida saranno opportunamente formati da Lepida e firmeranno una dichiarazione di impegno alla verifica dell’identità e delle procedure Lepida.
L’Ente deve mantenere aggiornato l’elenco dei nominativi degli operatori e comunicare
tempestivamente a Lepida l’eventuale disabilitazione del ruolo di operatore per i propri collaboratori.
Gli “operatori” sono i soggetti identificati nominalmente da ciascun Ente e svolgono la funzione di identificazione de visu del cittadino che ha precedentemente effettuato la registrazione sul sito xx.xxxxxx.xx, procedendo con la conseguente verifica dell’identità dichiarata e, qualora le verifiche riscontrino esito positivo, con l’attivazione della sua identità digitale SPID LepidaID.
Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali SPID LepidaID (all’indirizzo xxxxx://xx.xxxxxx.xx/xxxxxxxxx) e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio. Si fa presente infatti che alcune funzionalità sono riservate esclusivamente agli operatori di Lepida.
Tutte le procedure inerenti il servizio di IDP SPID Lepida sono oggetto di approvazione formale da parte di AgID e di certificazione e audit specifici. Pertanto è fondamentale che tutti gli attori, ivi compreso gli operatori, si attengano rigorosamente alle procedure e indicazioni stabilite da Lepida.
3.2.2. Dati e condizioni necessarie
L’Ente deve comunicare a Lepida le informazioni complete necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida. Le informazioni, da comunicare via PEC a Lepida, riguardano principalmente:
● Tutti i dati dell’Ente
● I dati del referente (nome, cognome, e-mail, telefono)
● Gli indirizzi IP delle postazioni da cui gli operatori accedono al servizio “xx.xxxxxx.xx”, in quanto gli operatori possono accedere soltanto da tali indirizzi, e l’elenco degli operatori associati a ciascuno sportello;
● I nominativi degli operatori e i relativi codici fiscali
● L’elenco degli sportelli e per ciascuno di essi: la relativa denominazione, indirizzo fisico, l’elenco operatori da associare allo sportello e giorni e orari ricevimento del
pubblico.
Tutte le comunicazioni relative al servizio LepidaID e alle modalità di attivazione dei servizi devono essere indirizzate a Lepida attraverso una apposito form online sulla pagina di assistenza per la ricezione delle richieste di informazioni relative all’avvio di nuovi sportelli.
L’attivazione e l’abilitazione degli sportelli, da parte di Lepida, avviene soltanto a seguito del verificarsi delle seguenti condizioni:
● Richiesta dell’Ente di attivazione degli sportelli
● Trasmissione a Lepida delle informazioni summenzionate da parte dell’Ente
● Partecipazione degli operatori dell’Ente alle attività di formazione che vengono svolte a cura di Lepida
● Presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori di un Ente, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure e che include il rigoroso rispetto delle procedure e le indicazioni di Lepida
● Xxxxxxxxxxx da parte di tutti gli operatori di una identità SPID LepidaID.
Lepida garantisce il supporto necessario agli Enti che intendano attivare sportelli di propria competenza in termini di formazione degli operatori, di messa a disposizione di materiale formativo e informativo, di aggiornamento e supporto alle attività degli operatori nelle loro attività quotidiane.
Una volta attivato uno sportello, qualora l’Ente abbia la necessità di attivare ulteriori operatori non presenti alla sessione di formazione di avvio dello sportello può avvalersi della possibilità di effettuare la formazione, secondo le procedure indicate puntualmente da Lepida.
3.2.3. Obblighi degli Enti per le attività di sportello
L’Ente deve garantire il rigoroso rispetto delle procedure e delle indicazioni di Lepida, sulla base di quelle approvate da AgID, nel funzionamento degli sportelli.
L’Ente si impegna a individuare come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Lepida e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità di natura civile e penale nelle quali potrebbero incorrere nello svolgimento di tale attività.
L’Ente si impegna a fornire ad ogni soggetto incaricato a svolgere attività di sportello un cartellino di riconoscimento da indossare durante le attività di sportello come operatore di Registration Authority del Gestore SPID Lepida.
Lepida si riserva la facoltà di effettuare degli audit, su propria iniziativa o su richiesta di XxXX, direttamente o indirettamente tramite soggetti autorizzati, sul funzionamento degli sportelli e il comportamento degli operatori.
3.2.4. Sicurezza e riservatezza
L’Ente ha l’obbligo di mantenere riservati i dati e le informazioni di cui venga in possesso e comunque a conoscenza tramite l'esecuzione delle attività di sportello, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione dell'attività di sportello e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione di Lepida. L’obbligo sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione delle attività di sportello. L’obbligo non concerne i dati che siano o divengano di pubblico dominio.
L’Ente è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza come definito sopra e risponde nei confronti di Lepida per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
Sarà possibile ogni operazione di auditing da parte di Lepida attinente le procedure adottate dall’Ente in materia di riservatezza e degli altri obblighi assunti dal presente contratto.
3.3. Trattamento dei dati personali
Per le finalità relative all’attribuzione dell’identità digitale e di fruizione dei servizi erogati online dai “Fornitori di servizi” tramite il Sistema Pubblico per la gestione dell’Identità Digitale (SPID) Lepida agisce in qualità di autonomo Titolare del trattamento dei dati.
In tutti i casi in cui l’Ente socio effettui, per conto di LepidaScpa, attività di sportello del servizio LepidaID per l’assistenza alla registrazione, all’identificazione dei richiedenti e all’attivazione delle identità digitali, lo Stesso è nominato da Lepida quale Responsabile del trattamento.
Con riferimento alla conversione in utenze LepidaID delle identità pregresse del sistema di autenticazione denominato FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) si invita a prendere visione del par. 2 del documento “LepidaID - Relazione trattamento dati personali”
4. Esercizio del servizio
Lepida eroga il servizio di LepidaID nel rispetto della Convenzione stipulata con XxXX adottando tutte le misure di sicurezza e le procedure applicative e gestionali previste. La Convenzione prevede, nell’Allegato 3, degli indicatori di qualità (Service Level Agreement) e le caratteristiche sulla continuità operativa relativi per l’adesione dei Gestori delle identità digitali nell’ambito di SPID.
Il rilascio delle credenziali deve avvenire entro i 5 giorni lavorativi dal momento in cui si è in possesso di tutta la documentazione di identificazione prevista. Pertanto, l’Ente deve garantire il rilascio delle credenziali entro 5 giorni lavorativi dal riconoscimento de visu del richiedente.
4.1. Template Lettera impegno Operatori sportello
LepidaID
Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Oggetto: Dichiarazione di impegno dei soggetti deputati alla verifica dell’identità dei titolari
Con riferimento al regolamento SPID (versione 2.0 del 22 luglio 2016) recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale (articolo 1, comma 1, lettera I), DPCM 24 ottobre 2014 (nel seguito DPCM), con la presente il sottoscritto
, operante presso la sede
Dichiara
● l’impegno ad operare nel pieno rispetto delle procedure descritte nel Manuale Operativo di LepidaID e secondo il Regolamento Recante le Modalità attuative per la realizzazione dello SPID (art.4, comma 2, DPCM 24 ottobre 2014).
● la presa d’atto delle responsabilità civili e penali eventualmente derivanti dalla mancata applicazione delle procedure previste.
Luogo e Data, , / /
Firma
4.2. Accordo per trattamento di dati personali
Il presente Accordo disciplina oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile, che discendono dalle attività di cui ai parr. 2.2 e ss. dell’Allegato Tecnico Federa-SPID. Per tali attività l’Ente Socio è nominato quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del GDPR da Lepida.
Premesse
Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.
● Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679
● Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679
● Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679
● Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679 o che pregiudichi i diritti o le libertà fondamentali degli interessati
● In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Le Parti convengono quanto segue:
1. Descrizione del trattamento
1.1 Finalità per le quali i dati personali sono trattati per conto del titolare del trattamento
Gli Enti Soci effettuano il trattamento di dati personali denominato “Attività di sportello del servizio LepidaID per l’assistenza alla registrazione, l’identificazione dei richiedenti e
l’attivazione delle identità digitali” afferenti alle attività meglio descritte nei parr. 2 e ss. dell’Allegato Tecnico Federa-SPID.
1.2 Categorie di interessati i cui dati personali sono trattati
☐ Dipendenti/Consulenti
☐ Utenti
☐ Xxxxxxxx che ricoprono cariche sociali
☐ Beneficiari o assistiti
☐ Pazienti
☐ Minori
1.3 Categorie di dati personali trattati
☐ Dati personali di natura particolare
☒ Dati personali comuni
☐ Persone vulnerabili
☐ Migranti
☐ Studenti maggiorenni
☐ Lavoratori
☒ Cittadini
☐ Dati personali relativi a condanne penali e reati
2. Istruzione per il Responsabile del trattamento
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto di Lepida garantisce che:
2.1.1 tratta tali Dati personali solo ai fini dell’esecuzione del presente accordo e di quanto definito nell’allegato tecnico succitato, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite da Lepida;
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte da Lepida e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico da Lepida, financo per trattamenti aventi finalità compatibili con quelle
originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà Lepida se, a suo parere, una qualsiasi istruzione fornita dalla stessa si ponga in violazione di Normativa applicabile.
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate a Lepida dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite d Lepida in materia;
2.2.2 nel caso in cui il Responsabile del trattamento sia tenuto alla raccolta di dati personali per conto di Lepida, lo stesso deve somministrare agli interessati l’informativa per il trattamento dei dati personali utilizzando il fac-simile messo a disposizione dal Titolare.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
4.1 Il Responsabile del trattamento garantisce competenze e affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto di Lepida.
4.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
4.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
5. Documentazione e rispetto
5.1 Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
5.2 Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
5.3 Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal regolamento (UE) 2016/679.
5.4 Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
6. Ricorso a Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito del presente Accordo, il Responsabile del trattamento è autorizzato alla nomina di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione al Titolare, fornendo allo stesso le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
6.2 L’autorizzazione generale di cui al punto che precede è subordinata al possesso da parte del “sub-responsabile” dei seguenti requisiti:
● sede legale in uno degli Stati membri dell’UE
● non siano trasferiti i dati in Paesi extra UE
● il sub-responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato
dello stesso livello del Responsabile del trattamento
● i compiti e le responsabilità correlate al trattamento dei dati personali di titolarità di Lepida siano disciplinate da atto scritto tra Responsabile e Sub-responsabile
6.3 Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679.
6.4 Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 Lepida non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Assistenza al Titolare del trattamento
8.1 Il responsabile del trattamento notifica prontamente al titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
8.2 Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere
a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del
trattamento.
9 Notifica di una violazione dei dati personali
9.1 In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
9.2 In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:
a) nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche
b) nell'ottenere le seguenti informazioni che, in conformità all'articolo 33, paragrafo 3, del regolamento (UE) 2016/679, devono essere indicate nella notifica del titolare del trattamento e includere almeno:
i. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
ii. le probabili conseguenze della violazione dei dati personali;
iii. le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
c) nell'adempiere, in conformità dell'articolo 34 del regolamento (UE) 2016/679,
all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
9.3 In caso di una violazione dei dati personali trattati dal responsabile del trattamento, quest'ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
10. Inosservanza delle clausole e risoluzione
10.1 Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
11. Responsabilità e manleve
11.1 Il Responsabile del trattamento tiene indenne e manleva Lepida da ogni perdita,
costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
11.2 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui al presente accordo, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
GLOSSARIO
“Garante per la protezione dei dati personali” - È l’autorità di controllo responsabile per la protezione dei dati personali in Italia
Dati personali - Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
GDPR o Regolamento - Si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018
Normativa Applicabile - Si intende l’insieme delle norme rilevanti in materia protezione dei dati personali , incluso il Regolamento Privacy UE 2016/679 (GDPR) e ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29
Reclamo - Si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento
Titolare del Trattamento - La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono
determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri
Trattamento - Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione
Responsabile del trattamento - La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
5. Servizio di Gateway FedERa
Il Gateway FedERa rappresenta l’infrastruttura tecnologica che permette l’accesso ai servizi telematici esposti di norma da Enti Soci di Lepida utilizzando i servizi di autenticazione offerti dagli IdP SPID, l’impiego della CIE 3.0, della CNS e, in futuro, di eIDAS
Lepida ha provveduto all’integrazione della piattaforma regionale FedERa con SPID garantendo l’adesione di tutti gli Enti della regione Xxxxxx-Romagna a SPID, attraverso una integrazione centralizzata unica per tutti gli Enti, valorizzando il modello e la scelta tecnologica di FedERa adottata in Xxxxxx-Romagna e l’esperienza consolidata di collaborazione tra gli Enti del territorio nell’ambito dell’Agenda Digitale dell’Xxxxxx-Romagna.
Il Gateway FedERa garantisce infatti l’adesione di tutti gli Enti della Community Network dell’Xxxxxx-Romagna a SPID attraverso l’integrazione centralizzata con gli IDP SPID accreditati per la verifica delle identità digitali necessaria per l’accesso ai servizi federati.
A febbraio 2021 è stata rinnovato da parte di Lepida l’accordo con AGID, attraverso la sottoscrizione della “Convenzione per l’adesione dei Soggetti aggregatori di Servizi pubblici al Sistema Pubblico per le Identità Digitali” che ha formalizzato il ruolo di Lepida come soggetto aggregatore SPID. Sulla base di questo accordo, tutti gli aspetti amministrativi e di adesione verso AGID sono svolti da Lepida.
Il Gateway FedERa è stato integrato con lo schema di identificazione “Entra con CIE” che consente l’accesso ai servizi digitali erogati in rete di pubbliche amministrazioni e privati, mediante l’impiego della CIE, come previsto dall’art. 64 del Codice dell’Amministrazione Digitale. Tale integrazione centralizzata permette a tutti gli Enti utilizzatori del Gateway FedERa di adempiere alla normativa che prevede che le pubbliche amministrazioni debbano rendere i propri servizi online accessibili tramite CIE per favorire e semplificare l'utilizzo dei servizi digitali da parte di tutti i cittadini.
5.1. Descrizione del servizio offerto
Il servizio permette l’accesso ai servizi telematici esposti dagli SP (Service Provider) federati utilizzando i servizi di autenticazione offerti dagli IdP SPID, l’impiego della CIE 3.0, della CNS e, in futuro, di EIDAS.
La federazione di un SP, ovvero di un Ente che dispone di un servizio online, può prevedere anche l’attivazione di una ACL (Access Control List) tramite la quale l’operatore SP può decidere i criteri secondo i quali permettere l’accesso al servizio, definendo quali valori devono assumere determinati attributi del profilo utente affinché venga concesso all’utente l’accesso al servizio offerto dal SP. In questa maniera un SP può permettere l’accesso al servizio solo a determinati utenti (impostando ad esempio un criterio sull’attributo “CodiceFiscale”, che deve corrispondere ad uno dei codici fiscali delle sole persone scelte), oppure soltanto ad una determinata categoria di utenti.
Si fa presente che nel caso di SPID gli attributi per ciascuno SP vengono definiti all’attivazione della federazione e non possono subire modifiche se non previa procedura legata ai regolamenti e al funzionamento di SPID.
Si evidenzia che il sistema SPID prevede che, per ogni servizio telematico erogato delle pubbliche amministrazioni (SP), venga definito, a cura del SP, il livello di sicurezza SPID necessario per l’accesso al servizio. Lepida fornisce supporto agli Enti per la determinazione del livello di sicurezza SPID per ciascun servizio coerentemente con le
indicazioni nazionali. A tal fine, si ricorda che i livelli di sicurezza per l’autenticazione e l’accesso ai servizi in SPID sono tre: autenticazione a un fattore, ovvero password; autenticazione a due fattori non basati necessariamente su certificati digitali, ad esempio password e OTP (one time password); autenticazione a due fattori basati su certificati digitali, ad esempio smart card.
Per quanto riguarda lo schema di identificazione “Entra con CIE” si evidenzia inoltre che gli attributi forniti sono solo Nome, Cognome, CF, Data di nascita.
Il Gateway FedERa permette di federare anche sistemi di gestione di attributi e dispone inoltre di un meccanismo di gestione di attributi, il tutto per permettere di definire attributi certificati associati alle identità digitali. Queste funzionalità dovranno evolvere a seconda dell’evoluzione delle modalità di gestione degli attributi in SPID.
5.2. Attivazione dei servizi
L’attivazione del servizio FedERa richiede la nomina da parte dell’Ente, e la comunicazione a Lepida, di un proprio referente per il servizio FedERa che sarà il soggetto titolato a richiedere, attraverso le modalità nel seguito descritte, l’attivazione dei servizi e verificarne la corretta implementazione. L’Ente si impegna a comunicare il proprio referente al momento dell’adesione al servizio e a comunicare tempestivamente a Lepida eventuale variazione del referente.
L’attivazione dei servizi di FedERa richiede come prerequisito tecnologico l’adozione del protocollo di autenticazione SAML2.0, da parte degli SP e degli IdP, per le comunicazioni con il Gateway FedERa e la predisposizione dei propri sistemi secondo il modello tecnico organizzativo di XxxXXx. Si fa presente che l’evoluzione di SPID, sia dal punto di vista tecnologico che tecnico-organizzativo, potrà richiedere ulteriori requisiti che saranno aggiornati e comunicati.
5.2.1. Processo di attivazione
L’Ente deve comunicare a Lepida le informazioni complete necessarie per l’attivazione dei servizi FedERa secondo le procedure e le modalità di trasmissione previste da Lepida. Le informazioni riguardano principalmente:
● tutti i dati dell’Ente
● i dati del referente (nome, cognome, email, telefono)
● i dati dei referenti tecnici e di supporto relativi ai servizi oggetto di integrazione con XxxXXx oltre a tutti i dettagli tecnici necessari per la configurazione e l’attivazione del servizio.
Tutte le comunicazioni relative al servizio FedERa e alle modalità di attivazione dei servizi devono essere inviate all’indirizzo email: xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx .
L’attivazione del servizio, da parte di Lepida, avviene attraverso la configurazione della piattaforma in ambiente di test e prevede una fase di verifica da parte del referente dell’Ente che dovrà comunicare esplicitamente a Lepida il corretto funzionamento del servizio. Successivamente Lepida effettua la configurazione in ambiente di produzione con una ulteriore verifica da parte del referente dell’Ente che dovrà comunicare esplicitamente a Lepida il corretto funzionamento del servizio in produzione.
Si fa presente che rimane a carico di ciascun Ente la responsabilità delle soluzioni software che si intende integrare con FedERa e la relativa interoperabilità con FedERa oltre allo svolgimento di eventuali verifiche delle integrazioni con gli ambienti di test messi a disposizione da Lepida.
Si fa presente che eventuali modifiche successive all’attivazione rientrano nell’esercizio del servizio e pertanto l’Ente deve comunicare la richiesta secondo le modalità di seguito riportate, fornendo le informazioni complete necessarie per tali modifiche secondo le procedure e le modalità di trasmissione previste da Lepida.
5.3. Livelli di servizio per l’attivazione
Lepida garantisce i seguenti livelli di servizio (SLA) dal momento in cui Lepida dispone di tutte le informazioni necessarie. I valori temporali indicati sono al netto del tempo necessario all’Ente per fornire ulteriori informazioni o chiarimenti su aspetti inizialmente non specificati e del tempo necessario ad AgID per l’attivazione su SPID.
Parametro | Valore | SLA (su base quadrimestrale) |
Tempo di lavorazione di una | 10 giorni | 90% dei casi |
Parametro | Valore | SLA (su base quadrimestrale) |
richiesta di attivazione o modifica dell’Ente | lavorativi |
5.4. Obblighi degli Enti come Aggregati SPID
L’adesione a SPID comporta per l’Ente, nel suo ruolo di Aggregato SPID e in virtù della Convenzione stipulata tra AgID e Lepida, alcuni obblighi di carattere operativo derivanti dal sistema SPID, come definito all’Art.5 “Servizio svolto dal soggetto Aggregato” della Convenzione. In particolare, l’Ente deve obbligatoriamente svolgere le seguenti azioni che saranno gestite da Lepida nei confronti di XxXX:
● Comunicare tempestivamente a Lepida, scrivendo a xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx, malfunzionamenti e incidenti di sicurezza sul servizio
● Comunicare a Lepida, scrivendo a xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx, situazioni di eventuali violazioni e intrusioni nei dati personali (entro 24 ore)
● Fornire dati statistici che potranno essere richiesti nei mesi successivi all’avvio.
Tali azioni sono indispensabili per permettere a Lepida di rispettare la suddetta Convenzione stipulata con AgiD.
6. Esercizio del servizio
6.1. Disponibilità del servizio
Il servizio è disponibile all’utenza H24 ad eccezione delle finestre temporali necessarie per eventuali manutenzioni e per cause non imputabili a Lepida e alla piattaforma FedERa.
Parametro | Livello di Servizio |
Tempo di disponibilità annuo | 99.40% |
Lepida procede ad effettuare operazioni di manutenzione programmata, anche durante le ore di normale apertura degli uffici. Rientrano nelle attività di manutenzione programmata tutti gli aggiornamenti correttivi, funzionali e di sistema. Nel caso in cui la manutenzione programmata richieda l’indisponibilità del servizio, questa sarà preventivamente notificata per email ai referenti degli Enti. Nella comunicazione verranno forniti gli estremi temporali presunti del fermo, non vincolanti per Lepida.
Lepida garantisce i seguenti livelli di servizio (SLA) per la manutenzione programmata:
Parametro | Valore | SLA (su base quadrimestrale) |
Tempo minimo di avviso in caso di disservizio per manutenzione programmata di competenza Lepida | 3 giorni solari | 90% dei casi |
6.2. Assistenza in esercizio
Lepida fornisce due tipi di assistenza in esercizio:
● Gestione e manutenzione
● Servizio di Help Desk
Considerato che il servizio Gateway FedERa prevede l’integrazione con servizi degli Enti, si fa presente che rimane a carico di ciascun Ente la responsabilità dei servizi integrati, e da loro erogati, pertanto l’Ente deve effettuare la corretta diagnosi in caso di malfunzionamenti in modo da identificare con opportuno grado di precisione eventuali problemi ritenuti in capo al servizio FedERa. La segnalazione di eventuali malfunzionamenti da parte del referente dell’Ente, a seguito di un’accurata diagnosi nell’ambito del proprio dominio, sarà oggetto di analisi congiunta in modo da determinarne la natura e presa in carico da Lepida qualora dovuta al servizio FedERa.
6.2.1. Gestione e manutenzione
Lepida garantisce la gestione e manutenzione del servizio fornendo supporto agli Enti e ai cittadini e garantendone il funzionamento nel rispetto di livelli di servizio previsti. In particolare, si precisa che per manutenzione correttiva si intendono gli interventi di correzione di malfunzionamenti del sistema che non possono essere risolti attraverso semplici operazioni di configurazione, ma necessitano di operazioni di modifica software oppure aggiornamento di una o più componenti del sistema, purché inerenti funzionalità già previste dal sistema.
6.2.2. Help Desk
La segnalazione di eventuali malfunzionamenti e per la richiesta di assistenza tecnica da parte dell’Ente deve avvenire attraverso il canale di assistenza web.
Lepida non garantisce alcun livello di servizio per le segnalazioni inoltrate tramite canali diversi dal canale di assistenza su indicato.
6.2.3. Livelli di servizio
I valori di SLA, su base quadrimestrale, riportati di seguito si riferiscono alla finestra temporale disponibilità del servizio di Help Desk ed esclusivamente alle attività di competenza di Lepida e relativamente al servizio FedERa.
Parametro | Valore | Livello di servizio |
Tempo di presa in carico di un malfunzionamento dovuto al sistema FedERa | 60 minuti | 90% dei casi |
Tempo di diagnosi e risoluzione, anche provvisoria, di malfunzionamenti bloccanti che non richiedono manutenzione correttiva | 240 minuti | 85% dei casi |
Tempo di diagnosi risoluzione, anche provvisoria, di | 480 minuti | 85% dei casi |
Parametro | Valore | Livello di servizio |
malfunzionamenti non bloccanti che non richiedono manutenzione correttiva |
Per la risoluzione dei malfunzionamenti rimangono esclusi cause non imputabili a Lepida e alla piattaforma FedERa.
6.3. Protezione dei dati personali
L’utente che intende fruire di un servizio esposto da un Ente del territorio emiliano-romagnolo (quale Service Provider) richiede di autenticarsi a questo attraverso SPID, CIE o CNS. Il Service Provider che espone il servizio consente all’utente di accedere direttamente al Gateway FedERa di Lepida, ove vengono rappresentate allo stesso le opzioni di autenticazione. Tale interazione è, per l’appunto, diretta tra l’utente e il Gateway e tra questi avviene lo scambio di asserzioni circa l’identità dell’utente stesso e la sua verifica. Pertanto, Lepida effettua i trattamenti di dati personali correlati al servizio di Gateway in qualità di Titolare del trattamento, la cui base giuridica è individuata all’art. 6 par. 1 lett. e) del GDPR, declinato dalla Legge Regionale n. 11/2004 “Sviluppo regionale della Società dell’informazione”, con la quale la Regione Xxxxxx-Romagna si è posta specifici obiettivi, tra cui la semplificazione e l’ampliamento dei servizi integrati, ha istituito la “Community Network Xxxxxx-Romagna” (CN-ER), allo scopo di “fare sistema” tra gli enti locali e dal Piano Telematico dell'Xxxxxx-Romagna (ora Agenda Digitale), in aderenza alla quale è stata realizzata la piattaforma FedERa, che attualmente costituisce nodo (gateway) di accesso ai servizi online della PA sia per le identità digitali.
6.4. Documentazione tecnica
Lepida rende disponibile sul proprio sito Internet la documentazione tecnica contenente le specifiche tecniche per l’integrazione con FedERa oltre ad altre informazioni utili.