SPID
Allegato Tecnico FedERa GW - IDP
SPID
Nota di lettura
1. Descrizione del servizio 1.1 Definizione e Acronimi 1.2 Descrizione generale
2. Servizio di gestore di identità digitali SPID 2.1 Descrizione del servizio offerto
2.2 Attivazione degli sportelli
2.2.1 Processo di attivazione di sportelli 2.2.1 Dati e condizioni necessarie
2.2.2 Obblighi degli Enti per le attività di sportello 2.3 Esercizio del servizio
2.4 Trattamento dati personali 2.4 Allegati
2.4.1. Accordo di contitolarità
2.4.2. Template Lettera impegno operatori sportello
3.1 Descrizione del servizio offerto 3.2 Attivazione dei servizi
3.2.1 Processo di attivazione
3.2.2 Livelli di servizio per l’attivazione 3.2.3 Obblighi degli Enti come SP
3.3.1 Disponibilità del servizio 3.3.2 Assistenza in esercizio
3.3.2.1 Help Desk
3.3.2.2 Gestione e manutenzione 3.3.2.3 Livelli di servizio
3.5 Linee guida della federazione FedERa
Nota di lettura
Lepida ScpA si riserva la facoltà di poter intervenire sulle misure tecniche e organizzative descritte nel presente documento, al fine di rendere il sistema conforme alle successive indicazioni normative che dovessero subentrare in argomento. Si riserva inoltre di intervenire per la correzione di meri errori materiali o refusi.
Il presente documento è aggiornato a seguito dell’ottenimento da parte di Lepida dell’accreditamento come Gestore di identità dIgitale (Identity Provider IDP SPID) e al perfezionamento della Convenzione che disciplina il rapporto nell’ambito di SPID (Sistema Pubblico Identità Digitale) tra Lepida e l’Agenzia per l’Italia Digitale (AgID) alla fine del 2018.
1. Descrizione del servizio
1.1 Definizione e Acronimi
● Community Network dell’Xxxxxx-Romagna (CNER): con la Delibera DGR 758/2013 è stata approvata la Nuova convenzione per il funzionamento, la crescita e lo sviluppo della Community Network Xxxxxx-Romagna (CNER) per creare le condizioni organizzative per dare attuazione alle finalità e ai progetti contenuti nel Piano Telematico dell’Xxxxxx-Romagna, ora AdER Agenda Digitale dell’Xxxxxx-Romagna: è un’aggregazione territoriale su base regionale (Art. 30 TUEL), con propria sede (presso la sede della Regione Xxxxxx-Romagna, cui è conferito potere di rappresentanza della CNER stessa), con una governance solida e partecipata, affidata al “Comitato Permanente di Indirizzo e Coordinamento con gli enti locali” (Art. 6, comma 4 LR 11/04), e con uno specifico ruolo attivo da parte della Società Lepida;
● Comitato Permanente di Indirizzo e Coordinamento (CPI): il Comitato Permanente di Indirizzo e Coordinamento con gli Enti locali, istituito con la Legge Regionale n.11/2004 e successive modifiche e integrazioni, è organismo della Community Network dell'Xxxxxx-Romagna;
● Utente: soggetto al quale viene rilasciata un’identità digitale con la quale potrà richiedere l’accesso ai servizi erogati dal Service Provider (SP); l’utente in tale contesto opera per il tramite del proprio browser;
● Service Provider (SP): soggetto che eroga un servizio all’utente che si sia autenticato per il tramite dell’identità digitale rilasciata dall’IdP (Identity Provider). Ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Service Provider è titolare del trattamento dei dati di propria competenza effettuato per le proprie finalità;
● Identity Provider (IdP SPID Lepida): soggetto abilitato a rilasciare e gestire un’identità digitale all’utente; l’identità digitale consente all’utente di autenticarsi
al Service Provider (SP) il quale, nel rispetto delle normative e del regolamento SPID, potrà consentire l’accesso ai propri servizi erogati;
● Identità digitale: la rappresentazione informatica della corrispondenza biunivoca tra un utente e suoi dati identificativi, verificata attraverso l'insieme delle informazioni raccolte e registrate in forma digitale;
● Autenticazione informatica: verifica effettuata dal gestore dell'identità digitale, su richiesta del fornitore di servizi, della validità delle credenziali di accesso presentate dall'utente al fine di convalidarne l'identificazione informatica;
● Gateway (GW): il sistema che permette il colloquio tra i service provider e gli identity provider per la verifica dell’identità per l’accesso ai servizi;
● Gestore del Gateway: soggetto che gestisce il Gateway (Lepida); ai fini del Regolamento Europeo 2016/679/UE per la protezione dei dati personali (GDPR), il Gestore del gateway è titolare del trattamento dei dati di propria competenza effettuato per le proprie finalità;
● Federazione: insieme dei soggetti, strumenti, regole e sistema di governo che intervengono nell’ambito di FedERa e finalizzata a fornire agli utenti accesso a servizi telematici, attraverso l’utilizzo di di identità digitale SPID;
● Soggetto Aderente a FedERa: il Soggetto Aderente – di natura pubblica e privata - come SP sottoscrittore del relativo servizio;
● SPID: Sistema pubblico dell’identità digitale di cittadini e imprese, istituito ai sensi del Codice Amministrazione Digitale (CAD);
● Ente Aderente a SPID: Soggetto Aderente a SPID come fornitore di servizi (SP), attraverso FedERa, in virtù dell’adesione alla CNER e della Convenzione per l’adesione delle pubbliche amministrazioni a SPID, stipulata in data 21 del mese di Aprile dell’anno 2016 tra AgID, Regione Xxxxxx-Romagna e Lepida (quest’ultimo in qualità di soggetto attuatore).
1.2 Descrizione generale
FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) è l’infrastruttura tecnica ed organizzativa della CNER realizzata e gestita da Lepida, su mandato di Regione Xxxxxx-Romagna. Il governo della Federazione è demandato alla Regione Xxxxxx-Romagna, alla CNER, la quale opera anche per il tramite del proprio rappresentante al CPI e a Lepida.
L’evoluzione di FedERa, a seguito dell’accreditamento di Lepida come Gestore di identità digitale (Identity Provider IDP SPID) e l’avvio dei relativi servizi, si traduce in due distinti servizi:
● servizio di gestore di identità digitali nell’ambito di SPID (LepidaID);
● servizio di gateway che permette l’accesso ai servizi telematici esposti da SP utilizzando i servizi di autenticazione offerti dagli IdP SPID.
2. Servizio di gestore di identità digitali SPID
Lepida è diventata Gestore di identità digitali (IDP SPID), su indicazione della Regione Xxxxxx-Romagna e degli Enti aderenti alla CNER come è ribadito nella Delibera della Giunta Regionale dell’Xxxxxx-Romagna 420/2018, valorizzando l’esperienza FedERa. La scelta di accreditamento di Lepida come IDP SPID nasce principalmente dalla volontà di Regione Xxxxxx-Romagna, e degli Enti pubblici della regione, di valorizzare e consolidare l’oltre milione di identità digitali gratuite FedERa esistenti, largamente conosciute ed utilizzate dai cittadini dell’Xxxxxx-Romagna, e non solo, per l’accesso a qualunque servizio della Pubblica Amministrazione, regionale o nazionale.
Infatti, Lepida ha ottenuto l’accreditamento da parte dell’Agenzia per l’Italia Digitale (AgID) come Gestore di identità digitale e ha avviato il servizio Lepida ID (xx.xxxxxx.xx) nella seconda metà di novembre 2018 a seguito del perfezionamento della Convenzione che disciplina il rapporto nell’ambito di SPID tra Lepida e XxXX.
Il passaggio dalle identità FedERa a SPID è stato oggetto di una specifica istanza presentata da Lepida per il riuso delle identità pregresse XxxXXx, approvata da AgID a novembre 2018, al fine del rilascio di Identità SPID di livello 2 per mezzo della “Procedura per la richiesta di rilascio di Identità SPID da Identità pregressa” emanata con Determinazione AgID n. 27/2018. Le procedure approvate sono messe in campo per dare l’opportunità ai cittadini in possesso di identità FedERa di ottenere una identità LepidaID prevedendo una data per l’interruzione del rilascio di nuove identità FedERa e una data per la dismissione delle identità FedERa e lo switch-off a LepidaID.
2.1 Descrizione del servizio offerto
Lepida fornisce il servizio di Gestore di identità digitali SPID, denominato LepidaID, attraverso una piattaforma tecnologica e secondo un modello organizzativo gestionale nel rispetto delle modalità attuative e specifiche tecniche SPID e delle relative evoluzioni.
La piattaforma tecnologica, realizzata e gestita da Lepida, è composta logicamente da due componenti: IdP (Identity Provider) che svolge le funzioni di gestione del processo di autenticazione utilizzando il Protocollo SAML 2.0 e IdM (Identity Management) che permette la gestione del ciclo di vita delle identità digitali con opportune interfacce disponibili in base al ruolo dell’utente (cittadino, operatore, amministratore di sistema).
Lepida eroga il servizio secondo il modello SPID, nel rispetto delle regole emesse da XxXX, fornisce le identità digitali e gestisce l’autenticazione degli utenti. Le identità digitali SPID rilasciate da Lepida sono gratuite e non prevedono costi ricorrenti a carico del cittadino.
L’emissione delle identità digitali SPID, e quindi il rilascio delle credenziali LepidaID, avviene a seguito di una richiesta dell’utente (registrazione online) e previa verifica dei dati dell’utente da parte di Lepida.
Lepida mette a disposizione dei cittadini quattro modalità di identificazione.
All’avvio del servizio, Lepida ha reso disponibile un servizio base gratuito per tutti i cittadini italiani con due modalità di identificazione:
1. Identificazione informatica tramite documenti digitali di identità (CIE/ TS CNS);
2. Identificazione informatica tramite firma elettronica qualificata o firma digitale.
Tali modalità richiedono una registrazione online da parte del cittadino, una verifica automatica dei dati delle carte digitali o della firma, e una verifica dell’identità del cittadini basata sui documenti di riconoscimento inseriti nel sistema. Queste due modalità sono gestite da personale di Lepida adeguatamente formato sul sistema e sulle procedure da seguire, senza ricorrere agli sportelli fisici sul territorio e sfruttando le apposite interfacce messe a disposizione dalle istituzioni competenti per effettuare le verifiche previste.
Lepida rende anche disponibile gratuitamente per i cittadini la modalità di:
3. Identificazione a vista del soggetto richiedente;
Per l’identificazione a vista del soggetto richiedente, a seguito di una registrazione online, saranno abilitati gradualmente appositi sportelli fisici, preposti al rilascio delle identità digitali, che saranno attivati principalmente e progressivamente nelle sedi degli Enti del territorio, e presso altre sedi, per effettuare l’identificazione a vista da parte di un operatore.
L’attivazione degli sportelli avviene solo a seguito del completamento della formalizzazione degli accordi e la formazione necessaria per garantire tutti i requisiti di conoscenza e il rispetto delle procedure definite da Lepida. Le attività di identificazione a vista saranno svolte principalmente da operatori degli Enti.
Infine, Lepida mette a disposizione, in un momento successivo, e a pagamento, la modalità di:
4. Identificazione a vista da remoto del soggetto richiedente.
L’identificazione a vista da remoto del soggetto richiedente, a seguito di una registrazione online, sarà effettuata a cura di personale di Lepida, considerando i requisiti qualitativi e quantitativi necessari (ad esempio durata e qualità di registrazione audio/video e relativa conservazione).
2.2 Attivazione degli sportelli
L’attivazione, la gestione e l’erogazione del servizio LepidaID è di competenza di Lepida.
I servizi erogati da Lepida, come gestore di identità digitale SPID (LepidaID), sono oggetto di una Convenzione con AgID, come previsto dalle normative, con la descrizione e le caratteristiche dei servizi, ivi compresi gli indicatori di qualità e livelli di servizio.
Il coinvolgimento degli Enti nell’erogazione del servizio LepidaID avviene principalmente nel caso di volontà dell’Ente di attivare sul territorio sportelli del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle credenziali nel rispetto delle procedure stabilite da Lepida.
2.2.1 Processo di attivazione di sportelli
L’attivazione di sportelli di un Ente richiede la nomina da parte dell’Ente, e la comunicazione a Lepida, di un proprio referente per il servizio LepidaID che sarà il soggetto titolato a richiedere, attraverso le modalità nel seguito descritte, l’attivazione degli sportelli di competenza dell’Ente e verificarne la corretta implementazione. L’Ente si impegna a comunicare il nominativo del proprio referente al momento dell’adesione al servizio e tempestivamente ogni eventuale variazione del referente a Lepida.
L’Ente deve prendere visione, nell’apposita sezione del sito di Lepida della versione vigente del presente Allegato Tecnico FedERa-SPID, da intendersi parte integrante del contratto FedERa, che si intende approvato e accettato in ogni sua parte.
L’Ente deve mantenere aggiornato l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per i propri collaboratori.
Gli “operatori” sono i soggetti identificati nominalmente da ciascun Ente e svolgono la funzione di identificazione de visu del cittadino che ha precedentemente effettuato la registrazione sul sito di xx.xxxxxx.xx, procedendo con la conseguente verifica dell’identità dichiarata e quindi con l’attivazione della sua identità digitale SPID di LepidaID.
Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali LepidaID all’indirizzo (xxxxx://xx.xxxxxx.xx/xxxxxxxxx) e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio. Si fa presente infatti che alcune funzionalità sono riservate agli operatori di Lepida.
Tutte le procedure inerenti il servizio di IDP SPID Lepida sono oggetto di approvazione formale da parte di AgID e di certificazione e audit specifici. Pertanto è fondamentale che tutti gli attori, ivi compreso gli operatori, si attengano rigorosamente alle procedure e indicazioni stabilite da Lepida.
2.2.1 Dati e condizioni necessarie
L’Ente deve comunicare a Lepida le informazioni complete necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida. Le informazioni riguardano principalmente:
● tutti i dati dell’Ente;
● i dati del referente (nome, cognome, e-mail, telefono);
● gli indirizzi IP delle postazioni da cui gli operatori accedono al servizio “xx.xxxxxx.xx”, in quanto gli operatori possono accedere soltanto da tali indirizzi, e l’elenco degli operatori associati a ciascuno sportello;
● i nominativi degli operatori e i relativi codici fiscali;
● l’elenco degli sportelli e per ciascuno di essi: la relativa denominazione, indirizzo fisico, l’elenco operatori da associare allo sportello e giorni e orari ricevimento del pubblico.
Tutte le comunicazioni relative al servizio LepidaID e alle modalità di attivazione dei servizi devono essere inviate all’indirizzo email: xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx .
L’attivazione e l’abilitazione degli sportelli, da parte di Lepida, avviene soltanto a seguito del verificarsi delle seguenti condizioni:
● richiesta dell’Ente di attivazione degli sportelli;
● trasmissione a Lepida delle informazioni summenzionate da parte dell’Ente;
● partecipazione degli operatori dell’Ente alle attività di formazione che vengono svolte a cura di Lepida;
● presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori di un Ente, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure e che include il rigoroso rispetto delle procedure e le indicazioni di Lepida;
● ottenimento da parte di tutti gli operatori di una identità SPID LepidaID
Lepida garantisce il supporto necessario agli Enti che intendano attivare sportelli di propria competenza in termini di formazione degli operatori, di messa a disposizione di materiale formativo e informativo, di aggiornamento e supporto alle attività degli operatori nelle loro attività quotidiane.
2.2.2 Obblighi degli Enti per le attività di sportello
L’Ente deve garantire il rigoroso rispetto delle procedure e delle indicazioni di Lepida, sulla base di quelle approvate da AgID, nel funzionamento degli sportelli.
L’Ente si impegna a individuare come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Lepida e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità di natura civile e penale nelle quali potrebbero incorrere nello svolgimento di tale attività.
Lepida si riserva la facoltà di effettuare degli audit, su propria iniziativa o su richiesta di XxXX, direttamente o indirettamente tramite soggetti autorizzati, sul funzionamento degli sportelli e il comportamento degli operatori.
2.3 Esercizio del servizio
Lepida eroga il servizio di LepidaID nel rispetto della Convenzione stipulata con XxXX adottando tutte le misure di sicurezza e le procedure applicative e gestionali previste. La Convenzione prevede, nell’Allegato 3, degli indicatori di qualità (Service Level Agreement) e le caratteristiche sulla continuità operativa relativi per l’adesione dei Gestori delle identità digitali nell’ambito di SPID.
Il rilascio delle credenziali deve avvenire entro i 5 giorni lavorativi dal momento in cui si è in possesso di tutta la documentazione di identificazione prevista. Pertanto, l’Ente deve garantire il rilascio delle credenziali entro 5 giorni lavorativi dal riconoscimento de visu del richiedente.
2.4 Trattamento dati personali
Nella funzione di riutilizzo delle identità pregresse di FedERa e di Identity provider SPID svolte su mandato dei soci, Lepida si pone in condizioni di contitolarità dei trattamenti di dati personali afferenti a tale servizio, ai sensi e per gli effetti di cui all’art. 26 del Regolamento UE n. 679/2016. tal fine gli Enti soci e Lepida formalizzano l’accordo di riparto, in cui disciplinano il corretto inquadramento teorico dei rispettivi ruoli. L’accordo, riportato in Allegato, di contitolarità costituisce, quindi, la sede agile, flessibile e funzionale in cui disciplinare anche gli aspetti più critici dei trattamenti di dati personali che discendono dall’esercizio di IdP. A titolo esemplificativo, l’accordo prevedrebbe la responsabilità di Lepida in caso di data breach, sia con riferimento alla notifica all’Autorità Garante sia con l’esaudimento delle comunicazioni di cui all’art. 34 del Regolamento.
2.4 Allegati
2.4.1. Accordo di contitolarità
Con la presente scrittura da tenere e valere tra le parti ad ogni effetto e ragione di legge, tra LEPIDA S.c.p.A e gli Enti aderenti alla Community Network della Regione Xxxxxx-Romagna
Art. 1 Premessa
FedERa (Federazione degli Enti dell'Xxxxxx-Romagna per l'Autenticazione) è il sistema realizzato da Regione Xxxxxx-Romagna, attraverso Lepida ScpA, durante il piano telematico 2007/2009 nell’ambito della CNER, Community network dell’Xxxxxx-Romagna, che ha permesso agli utenti di acquisire identità digitali (credenziali) con le quali poter richiedere
l’accesso ai servizi online erogati dai diversi soggetti aderenti al sistema (Regione, Enti Locali, altre PP.AA. e soggetti di natura pubblica o privata), mediante un sistema di autenticazione federata.
SPID è il nuovo sistema di login che permette a cittadini e imprese di accedere con un’unica identità digitale, da molteplici dispositivi, a tutti i servizi online di pubbliche amministrazioni e privati aderenti.
La Regione Xxxxxx-Romagna e gli Enti del territorio hanno demandato a Lepida l’opera di armonizzazione e adeguamento della piattaforma di FEDERA e l’accreditamento presso AGID quale Identity provider SPID, come stabilito con Deliberazione di Giunta regionale n. 420/2018 avente ad oggetto “Mandato di accreditamento come Identity Provider SPID a Lepida ”
E’ di seguito disciplinato il regime di responsabilità delle Parti in merito all'osservanza degli obblighi derivanti dal Regolamento UE n. 679/2016 (di seguito anche solo “GDPR”), con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni.
Art. 2. Ruoli e attività di trattamento di dati personali
2.1 Lepida e gli Enti della CNER agiscono in regime di contitolarità dei trattamenti di dati personali relativamente alle utenze Federa tramutate in SPID, ai sensi e per gli effetti di cui all’art. 26 del Regolamento UE n. 679/2016.
2.2 Lepida assume il ruolo di Titolare dei trattamenti di dati personali relativi alle nuove utenze SPID.
2.3 Le funzioni di Registration Authority sono svolte da tutte le Parti, ciascuna per il proprio ambito di afferenza; ovverosia le funzioni di RA esclusivamente telematiche sono svolte da Lepida mentre le funzioni di RA con riconoscimento de visu sono svolte principalmente dagli Enti.
2.4 Dal punto di visto tecnologico Lepida assicura la somministrazione del servizio in aderenza ai Regolamenti Agid e nel rispetto della Direttiva del Presidente del Consiglio dei Ministri 27 gennaio 1994 “Principi sull’erogazione dei servizi pubblici”.
2.5 Nei casi in cui Fornitori concorrano al trattamento di dati personali, le Parti designano gli stessi quali Responsabili del trattamento di dati personali, disciplinando, tra le altre cose, oneri e responsabilità in caso di esercizio dei diritti dell’interessato e data breach.
2.6 Le Parti si impegnano altresì, ai sensi dell’art. 26, comma 2, del Regolamento (EU) 2016/679, a mettere a disposizione dell’interessato il contenuto essenziale del presente Accordo.
Art. 3. Condizioni di liceità dei trattamenti di dati personali
3.1 Il servizio SPID è reso in coerenza con l’articolo 64 del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale, di seguito “CAD”) e del DPCM 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” . Tale decreto stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi
l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano. Con Determinazione AgID n. 44/2015 del 28 luglio 2015, sono stati emanati i regolamenti previsti dall’art. 4, commi 2 e 3, DPCM, tra i quali rientrano:
● le regole tecniche e delle modalità attuative per la realizzazione dello SPID;
● le modalità di accreditamento dei soggetti SPID;
● le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale.
3.2 I trattamenti di dati personali, il cui quadro è definito dalle norme sopra citate, trovano le loro condizioni di liceità nell’art. 6 comma 1 lett. b) del Regolamento UE n. 679/2016 e, in relazione alla natura pubblica delle Parti, anche nell’art. 6 comma 1 lett e) della stessa norma.
Art. 4. Informativa per il trattamento dei dati personali
4.1 Lepida assume l’onere di elaborare e tenere aggiornata l’informativa per il trattamento dei dati personali da rendere agli interessati ai sensi del Regolamento UE n. 679/2016.
4.2 Nei casi in cui i dati siano raccolti in presenza fisica dell’interessato, l’informativa per il trattamento dei dati personali viene somministrata dagli Enti.
4.3 In tutti gli altri casi, Lepida somministra con modalità telematiche l’informativa per il trattamento dei dati personali.
4.4 Le Parti hanno valutato la compatibilità della finalità di trattamento per cui sono stati originariamente raccolti i dati personali degli utenti (FEDERA) con quella afferente al servizio SPID, tenuto conto, ai sensi dell’art. 6.4 del GDPR
Requisito | Valutazione |
di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto | il servizio che gli Enti soci e Lepida, agendo come Idp di SPID, forniscono, è evidentemente sovrapponibile a quello originario per cui i dati furono raccolti (Federa). |
del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento | gli elementi di contesto non mutano e la contitolarità del trattamento non connota diversamente la relazione con i soggetti interessati |
della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10 | non sono trattati dati personali di cui agli artt. 9 e 10 del GDPR |
delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati | in aderenza alla vocazione pubblicistica dei Contitolari sono richieste informazioni ulteriori non obbligatorie né i dati già raccolti degli utenti sono utilizzati per altri scopi i dati personali degli utenti. |
dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione | l’impatto sulla riservatezza degli utenti che vennero registrati in Federa è certamente migliorativo, poiché la somministrazione del servizio SPID è subordinato all’accreditamento in AGID, nonché al rispetto delle Linee guida e delle misure tecniche stabilite da AGID stessa, redatte in collaborazione con l’Autorità Garante per la protezione dei dati personali |
4.5 Lepida assume l’onere di informare gli interessati dell’ulteriore finalità di trattamento relativa a SPID, ove dovranno essere indicate le modalità per gli interessati di accesso al presente accordo.
Art. 5. L’esercizio dei diritti da parte degli interessati
5.1 Gli interessati possono esercitare i diritti loro riconosciuti dal GDPR presentando istanza sia nei confronti di Lepida che degli Enti.
5.2 Lepida assume il ruolo di coordinatore delle suddette istanze e di responsabile del riscontro. Pertanto, gli Enti trasmettono a Lepida, nelle modalità che assicurino celerità e certezza della trasmissione, le istanze degli interessati non oltre le 72 ore dal ricevimento delle stesse.
5.3 Nei termini previsti dalla normativa, è Lepida che fornisce il riscontro alle istanze degli interessati.
5.4 Al fine di semplificare le modalità di inoltro e di ridurre i tempi per il riscontro, nell’informativa per il trattamento dei dati personali viene suggerito agli interessati di utilizzare un unico punto di contatto.
5.5 Nei casi in cui vi siano responsabili del trattamento che concorrono alla finalità di trattamento “SPID”, le Parti, nell’ambito della formale designazione di cui all’art. 28 del GDPR, devono prevedere tempi perentori di risposta alle richieste dalle stesse formulate nonché il divieto di riscontro diretto agli interessati da parte degli stessi.
5.6 Lepida fornisce riscontro agli interessati con modalità telematiche, tranne nel caso in cui l’interessato non sia nelle condizioni di accedere telematicamente al riscontro trasmesso.
5.7 Le Parti possono addebitare un contributo spese ragionevole basato sui costi amministrativi solo nel caso in cui siano richieste più copie di dati in formato cartaceo.
5.8 Le Parti consentono all’interessato di rettificare autonomamente i dati personali dallo stesso ritenuti inesatti, nei limiti imposti dalla normativa indicata all’art. 3.1 del presente accordo.
5.9 Le Parti consentono l’esercizio del diritto alla portabilità dei dati nelle modalità eventualmente stabilite da AGID.
5.10 Le Parti conservano i dati personali degli interessati per un periodo non superiore a quello necessario per il perseguimento delle finalità di cui al servizio SPID. Nei casi in cui l’utente richieda la cancellazione dei propri dati personali le Parti eliminano ogni dato personali in proprio possesso ad esso riferito
5.11 Le Parti convengono inoltre che i reclami e le richieste di esercizio dei diritti presentati dagli utenti sono gestiti in via esclusiva da Lepida, restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di entrambi i Contitolari ai sensi dell’art. 26, comma 3 del GDPR.
5.12 Le Parti sono responsabili in solido per gli eventuali danni arrecati nella somministrazione del Servizio SPID.
Art. 6. Le misure di sicurezza
6.1 Lepida, nell’ambito della gestione tecnologica del servizio, utilizza sistemi affidabili che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità ai criteri di sicurezza riconosciuti in ambito europeo o internazionale, allineando le proprie procedure di sicurezza agli standard internazionali.
6.2 Lepida implementa misure adeguate a prevenire ogni possibile contraffazione, nonché idonee anche a garantire la riservatezza, l’integrità e la sicurezza del procedimento e delle attività di generazione delle credenziali di accesso.
6.3 Le Parti formano adeguatamente i soggetti autorizzati al trattamento di dati personali.
6.4 Le Parti effettuano, con cadenza almeno annuale, un’analisi dei rischi correlati ai trattamenti di dati personali effettuati in esecuzione del servizio SPID.
6.5 Lepida, nell’ambito della gestione tecnologica del servizio, effettua costantemente e senza soluzione di continuità l’attività di monitoraggio della sicurezza dei sistemi, garantendo, tramite un’apposita struttura interna di pronto intervento, la gestione degli incidenti di sicurezza e data breach.
7.1 In aderenza agli artt. 33 e 34 del GDPR Lepida gestisce gli incidenti di sicurezza informatica e data breach, in particolare:
● preparando il personale ad affrontare situazioni anomale e non codificate;
● individuando i parametri atti ad identificare un incidente di sicurezza e/o data breach;
● minimizzando i danni relativi all’incidente ed impedirne la propagazione;
● gestendo correttamente il processo di ripristino dei sistemi e delle applicazioni;
● gestendo correttamente il processo di notifica al Garante e di comunicazione agli interessati;
● acquisendo nel modo appropriato le eventuali evidenze digitali di reato.
7.2 Con riferimento al servizio SPID, gli Enti comunicano immediatamente a Lepida qualsiasi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati personali di cui abbiano avuto contezza.
7.3 Nei casi in cui soggetti Fornitori concorrano al trattamento di dati personali in qualità di Responsabili del trattamento, questi informano Lepida di qualsiasi distruzione, perdita,
alterazione, divulgazione o accesso non autorizzato ai dati personali di cui abbiano avuto contezza. ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
a) una descrizione dettagliata della Violazione della sicurezza;
b) il tipo di dati che è stato oggetto di Violazione della sicurezza;
c) l'identità di ogni interessato (o, se non è possibile, il numero approssimativo delle persone interessate e i dati personali coinvolti);
d) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
e) una descrizione delle probabili conseguenze della Violazione della sicurezza;
f) una descrizione delle misure adottate o che si intendono adottare per affrontare la Violazione della sicurezza, comprese, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
Art. 8 Registro delle attività di trattamento
8.1 Le parti, in aderenza all’art. 30 del GDPR e con riferimento ai trattamenti di dati personali effettuati in esecuzione del servizio SPID, riportano, ciascheduna nel proprio registro dei trattamenti, tutte le informazioni richieste dalla norma.
8.2 Nel registro dei trattamenti deve specificatamente essere riportato che tali trattamenti di dati personali sono effettuati in regime di contitolarità.
9.1 La durata del presente accordo è correlata alla somministrazione del servizio e all’accreditamento in AGID di Lepida quale Identity provider.
9.2 Il presente accordo deve intendersi risolto nel caso di cessazione della somministrazione del servizio o di revoca dell’accreditamento in AGID di Lepida.
10.1 Le eventuali modifiche al presente Accordo sono apportate per iscritto.
10.2 L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
2.4.2. Template Lettera impegno operatori sportello
LepidaID
Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Oggetto: Dichiarazione di impegno dei soggetti deputati alla verifica dell’identità dei titolari
Con riferimento al regolamento SPID (versione 2.0 del 22 luglio 2016) recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale (articolo 1, comma 1, lettera I), DPCM 24 ottobre 2014 (nel seguito DPCM), con la presente [Nome, Cognome], operante presso la sede [sede operativa adibita al rilascio delle identità]
Dichiara
● l’impegno ad operare come indicato nelle procedure descritte nel documento “IdP Lepida ScpA - Procedure di verifica dell’identità digitale dei titolari” e secondo il Regolamento Recante le Modalità attuative per la realizzazione dello SPID (art.4, comma 2, DPCM 24 ottobre 2014).
● la presa d’atto delle responsabilità civili e penali eventualmente derivanti dalla mancata applicazione delle procedure previste.
Data, ……
Luogo, ….. Firma
3. Servizio di Gateway FedERa
Lepida ha provveduto all’integrazione della piattaforma regionale FedERa con SPID garantendo l’adesione di tutti gli Enti della regione Xxxxxx-Romagna a SPID, attraverso una integrazione centralizzata unica per tutti gli Enti valorizzando il modello e la scelta tecnologica di FedERa adottata in Xxxxxx-Romagna e l’esperienza consolidata di collaborazione tra gli Enti del territorio nell’ambito dell’Agenda Digitale dell’Xxxxxx-Romagna.
Il Gateway FedERa garantisce infatti l’adesione di tutti gli Enti della Community Network a SPID attraverso l’integrazione centralizzata con gli IDP SPID accreditati per la verifica delle identità digitali necessaria per l’accesso ai servizi federati.
3.1 Descrizione del servizio offerto
Il servizio permette l’accesso ai servizi telematici esposti dagli SP federati utilizzando i servizi di autenticazione offerti dagli IdP SPID e FedERa (fino alla relativa dismissione).
La federazione di un SP, ovvero di un Ente che dispone di un servizio online, può prevedere anche l’attivazione di una ACL (Access Control List), tramite la quale l’operatore SP può decidere i criteri secondo i quali permettere l’accesso al servizio, definendo quali valori devono assumere determinati attributi del profilo utente affinché venga concesso all’utente l’accesso al servizio offerto dall’ SP. In questa maniera un SP può permettere l’accesso al servizio solo a determinati utenti (impostando ad esempio un criterio sull’attributo “CodiceFiscale”, che deve corrispondere ad uno dei codici fiscali delle sole persone scelte), oppure soltanto ad una determinata categoria di utenti.
Si fa presente che nel caso di SPID gli attributi per ciascuno SP vengono definiti all’attivazione della federazione e non possono subire modifiche se non previa una procedura legata ai regolamenti e al funzionamento di SPID.
Si evidenzia che il sistema SPID prevede che, per ogni servizio telematico erogato delle pubbliche amministrazioni (SP), venga definito, a cura del SP, il livello di sicurezza SPID necessario per l’accesso al servizio. Lepida fornisce supporto agli Enti per la determinazione del livello di sicurezza SPID per ciascun servizio coerentemente con le indicazioni nazionali. A tal fine, si ricorda che i livelli di sicurezza per l’autenticazione e l’accesso ai servizi in SPID sono tre: autenticazione a un fattore, ovvero password; autenticazione a due fattori non basati necessariamente su certificati digitali, ad esempio password e OTP (one time password); autenticazione a due fattori basati su certificati digitali, ad esempio smart card.
La piattaforma FedERa permette di federare anche sistemi di gestione di attributi e dispone inoltre di un meccanismo di gestione di attributi in modalità ASP, il tutto per permettere di definire attributi certificati associati alle identità digitali. Queste funzionalità dovranno
evolvere a seconda dell’evoluzione delle modalità di gestione degli attributi in SPID.
3.2 Attivazione dei servizi
L’attivazione del servizio FedERa richiede la nomina da parte dell’Ente, e la comunicazione a Lepida, di un proprio referente per il servizio FedERa che sarà il soggetto titolato a richiedere, attraverso le modalità nel seguito descritte, l’attivazione dei servizi e verificarne la corretta implementazione. L’Ente si impegna a comunicare il proprio referente al momento dell’adesione al servizio e a comunicare tempestivamente a Lepida eventuale variazione del referente.
L’attivazione dei servizi di FedERa richiede come prerequisito tecnologico l’adozione del protocollo di autenticazione SAML2.0, da parte degli SP e degli IdP, per le comunicazioni con il GW fedERa e la predisposizione dei propri sistemi secondo il modello tecnico organizzativo di XxxXXx. Si fa presente che l’evoluzione di SPID, sia dal punto di vista tecnologico che tecnico-organizzativo, potrà richiedere ulteriori requisiti che saranno aggiornati e comunicati.
3.2.1 Processo di attivazione
L’Ente deve comunicare a Lepida le informazioni complete necessarie per l’attivazione dei servizi FedERa secondo le procedure e le modalità di trasmissione previste da Lepida. Le informazioni riguardano principalmente:
● tutti i dati dell’Ente, i dati del referente (nome, cognome, e-mail, telefono), i dati dei referenti tecnici e di supporto relativi ai servizi oggetto di integrazione con FedERa oltre a tutti i dettagli tecnici necessari per la configurazione e l’attivazione del servizio.
Tutte le comunicazioni relative al servizio FedERa e alle modalità di attivazione dei servizi devono essere inviate all’indirizzo email: xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx .
L’attivazione del servizio, da parte di Lepida, avviene attraverso la configurazione della piattaforma in ambiente di test e prevede una fase di verifica da parte del referente dell’Ente che dovrà comunicare esplicitamente a Lepida il corretto funzionamento del servizio. Successivamente Lepida effettua la configurazione in ambiente di produzione con una ulteriore verifica da parte del referente dell’Ente che dovrà comunicare esplicitamente a Lepida il corretto funzionamento del servizio in produzione.
Si fa presente che rimane a carico di ciascun Ente la responsabilità delle soluzioni software che si intende integrare con FedERa e la relativa interoperabilità con FedERa oltre allo
svolgimento di eventuali verifiche delle integrazioni con gli ambienti di test messi a disposizione da Lepida.
Si fa presente che eventuali modifiche successive all’attivazione rientrano nell’esercizio del servizio e pertanto l’Ente deve comunicare la richiesta secondo le modalità di seguito riportate, fornendo le informazioni complete necessarie per tali modifiche secondo le procedure e le modalità di trasmissione previste da Lepida.
3.2.2 Livelli di servizio per l’attivazione
Lepida garantisce i seguenti livelli di servizio (SLA) dal momento in cui Lepida dispone di tutte le informazioni necessarie. I valori temporali indicati sono al netto del tempo necessario all’Ente per fornire ulteriori informazioni o chiarimenti su aspetti inizialmente non specificati e del tempo necessario ad AgID per l’attivazione su SPID.
Parametro | Valore | SLA (su base quadrimestrale) |
Tempo di lavorazione di una richiesta di attivazione o modifica dell’Ente | 10 giorni lavorativi | 90% dei casi |
3.2.3 Obblighi degli Enti come SP
L’adesione a SPID comporta per l’Ente, nel suo ruolo di fornitore di servizi (SP) e in virtù della Convenzione stipulata tra AgID, la Regione Xxxxxx-Romagna e Lepida, alcuni obblighi di carattere operativo derivanti dal sistema SPID. In particolare, l’Ente deve obbligatoriamente svolgere le seguenti azioni che saranno gestite da LepidaSpA nei confronti di XxXX:
● comunicare tempestivamente a xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx malfunzionamenti e incidenti di sicurezza sul servizio;
● comunicare situazioni di eventuali violazioni e intrusioni nei dati personali (entro 24 ore) scrivendo a xxxxxxxxxxxxxxxxxxxx@xxxxxx.xx ;
● fornire dati statistici che potranno essere richiesti nei mesi successivi all’avvio.
Tali azioni sono indispensabili per permettere a Lepida di rispettare la Convenzione stipulata con AgiD “per l’adesione delle pubbliche amministrazioni al sistema pubblico per le identità digitali”.
3.3 Esercizio del servizio
3.3.1 Disponibilità del servizio
Il servizio è disponibile all’utenza H24 ad eccezione delle finestre temporali necessarie per eventuali manutenzioni e per cause non imputabili a Lepida e alla piattaforma FedERa.
Tempo di disponibilità annuo | 99.40% |
Lepida procede ad effettuare operazioni di manutenzione programmata, anche durante le ore di normale apertura degli uffici. Rientrano nelle attività di manutenzione programmata tutti gli aggiornamenti correttivi, funzionali e di sistema. Nel caso in cui la manutenzione programmata richieda l’indisponibilità del servizio, questa sarà preventivamente notificata per email ai referenti degli Enti. Nella comunicazione verranno forniti gli estremi temporali presunti del fermo, non vincolanti per Lepida.
Lepida garantisce i seguenti livelli di servizio (SLA) per la manutenzione programmata:
Parametro | Valore | SLA (su base quadrimestrale) |
Tempo minimo di avviso in caso di disservizio per manutenzione programmata di competenza Lepida | 3 giorni solari | 90% dei casi |
3.3.2 Assistenza in esercizio
Lepida fornisce due tipi di assistenza in esercizio:
● Servizio di help desk
● Gestione e manutenzione
Considerato che il servizio GW FedERa prevede l’integrazione con servizi degli Enti, si fa presente che rimane a carico di ciascun Ente la responsabilità dei servizi integrati, e da loro erogati, pertanto l’Ente deve effettuare la corretta diagnosi in caso di malfunzionamenti in modo da identificare con opportuno grado di precisione eventuali problemi dovuti al servizio FedERa. La segnalazione di eventuali malfunzionamenti da parte del referente dell’Ente, a seguito di un’accurata diagnosi nell’ambito del proprio dominio, sarà oggetto di analisi congiunta in modo da determinarne la natura e presa in carico da Lepida qualora dovuta al servizio FedERa.
Inoltre si sottolinea che Lepida fornisce servizio di Help desk ai cittadini per tutti gli aspetti inerenti l’utilizzo del servizio GW FedERa ad eccezione della natura o della correttezza delle informazioni pubblicate o provenienti dagli Enti.
3.3.2.1 Help Desk
La segnalazione di eventuali malfunzionamenti e per la richiesta di assistenza tecnica deve avvenire attraverso il servizio di Help Desk disponibile dal lunedì al venerdì dalle ore 8:30 alle ore 18:30 ed il sabato dalle ore 8.30 alle ore 13.30. I riferimenti dell’Help Desk sono:
Telefono | 000 000000 |
Web |
Lepida non garantisce alcun livello di servizio per le segnalazioni inoltrate tramite canali diversi dall’Help Desk.
3.3.2.2 Gestione e manutenzione
Lepida garantisce la gestione e manutenzione del servizio fornendo supporto agli Enti e ai cittadini e garantendone il funzionamento del rispetto di livelli di servizio previsti. In particolare, si precisa che per manutenzione correttiva si intendono gli interventi di correzione di malfunzionamenti del sistema che non possono essere risolti attraverso semplici operazioni di configurazione, ma necessitano di operazioni di modifica software oppure aggiornamento di una o più componenti del sistema, purché inerenti funzionalità già previste dal sistema.
3.3.2.3 Livelli di servizio
I valori di SLA, su base quadrimestrale, riportati di seguito si riferiscono alla finestra temporale disponibilità del servizio di Help Desk ed esclusivamente alle attività di competenza di Lepida e relativamente al servizio FedERa.
Parametro | Valore | Livello di servizio |
Tempo di presa in carico di un malfunzionamento dovuto al sistema FedERa | 60 minuti | 90% dei casi |
Tempo di diagnosi e risoluzione, anche provvisoria, di malfunzionamenti bloccanti | 240 minuti | 85% dei casi |
che non richiedono manutenzione correttiva | ||
Tempo di diagnosi risoluzione, anche provvisoria, di malfunzionamenti non bloccanti che non richiedono manutenzione correttiva | 480 minuti | 85% dei casi |
Per la risoluzione dei malfunzionamenti rimangono esclusi cause non imputabili a Lepida e alla piattaforma FedERa.
3.4 Documentazione tecnica
Lepida rende disponibile sul proprio sito Internet la documentazione tecnica contenente le specifiche tecniche per l’integrazione con FedERa oltre ad altre informazioni utili.
3.5 Linee guida della federazione FedERa
I soggetti che compongono la federazione sono gli Identity Provider, i Service Provider, le Attribute Authority e il Gestore della federazione.
Gli Identity Provider (IdP) sono i soggetti che rilasciano credenziali di autenticazione ai cittadini e consente loro l’accesso ai servizi online federati. Con l’evoluzione di XxxXXx, a seguito dell’accreditamento di Lepida come IdP SPID, gli IdP sono quelli SPID accreditati presso AgID.
A seguito di una richiesta di accesso da parte di un utente ad uno qualsiasi dei servizi federati, l’IdP presso cui l’utente si è registrato, ne verifica le credenziali.
Un Ente che svolge il ruolo di sportello per il Gestore di Identità SPID Lepida espleta i servizi di Registration Authority (RA) per conto di Lepida. Si tratta di una procedura informatica di registrazione e rilascio di credenziali LepidaID a seguito dell’identificazione di una persona fisica.
Tramite il sistema LepidaID e con l’accesso all’applicativo web, gli operatori di sportello abilitati dell’ente (operatori RA) possono effettuare le operazioni necessarie per la verifica dell’identità del soggetto richiedente e l’attivazione delle credenziali.
Service Provider
I Service Provider (SP) sono i soggetti che mettono a disposizione degli utenti servizi web a seguito di una procedura di autenticazione federata. Gli SP provvedono a rendere i loro sistemi conformi alle linee guida tecniche della federazione. Il SP, a seguito di una richiesta di accesso ad un servizio gestito, provvede a re-indirizzare l’utente al GW fedERa il quale a sua volta provvederà a re-indirizzarlo all’IdP per la verifica delle credenziali. Il SP, al quale il GW fedERa avrà re-indirizzato l’utente che ha superato la verifica di credenziali da parte dell’IdP, provvederà a completare la procedura di accesso al servizio secondo le proprie regole di accesso.
Con la federazione di un proprio SP, viene riconosciuta l’identità digitale rilasciata da un qualsiasi IdP SPID, purchè l’utenza possieda i requisiti minimi richiesti dal servizio stesso e rispetti le regole definite dallo SPID.
L’operatore SP è l’operatore dell’Ente che definisce i criteri secondo i quali permettere l’accesso al servizio, indicando, ad esempio, quali valori devono assumere determinati attributi del profilo utente affinchè venga concesso all’utente l’accesso al servizio offerto dall’ SP.
Le Attribute Authority (AA) sono i soggetti abilitati a certificare gli attributi qualificati contenuti nel profilo utente dell’Identità digitale. L’introduzione dell’ Attribute Authority permette di certificare un insieme degli attributi che vengono rilasciati al servizio.
Alla data di stesura del presente documento, le AA sono ancora oggetto di discussione a livello nazionale nell’ambito del sistema SPID.
Lepida, assumendosi il ruolo di Gestore della federazione perchè affidatogli dall’Ente Regione Xxxxxx-Romagna come delegato all’interno della CNER o direttamente dall’Ente socio, provvede a garantire:
● il funzionamento del gateway multiprotocollo e in generale dei sistemi di gestione della federazione nel suo complesso;
● l’aderenza agli standard della federazione da parte di tutti i soggetti coinvolti, al fine di consentire la corretta interazione tra gli stessi e l’espletamento dei servizi rivolti agli utenti;
● il necessario supporto in fase di adesione alla federazione anche relativamente alla integrazione di IdP e SP;
● il funzionamento e la disponibilità di servizi di help desk;
● gestione dell’albo dei soggetti federati, consultabile sul portale della federazione, per ciascuno dei quali viene indicato con quali funzioni il soggetto aderente si integra al sistema.