Tra
SCHEMA CONVENZIONE TRA LEPIDA S.c.p.A. E REGIONE TOSCANA PER L’ATTIVAZIONE DI SPORTELLI LEPIDAID AL FINE DI PROMUOVERE IL RILASCIO DELL’ IDENTITÀ DIGITALE UNICA SPID PER IL CITTADINO
Tra
LEPIDA S.c.p.A., con sede legale in Bologna, Via della Liberazione n. 15, capitale sociale € 69.881.000,00, n. di iscrizione alla CCIAA di Bologna, C.F. e P.I 02770891204, di seguito indicata come “Lepida” o “Società”, nella persona del .................................., che agisce in base a
………………………………………….………………………………………….
………………………………………….…………………
E
Regione Toscana (di seguito denominata “Ente Capofila”), con sede legale in Firenze, di seguito indicata come Regione , nella persona
…………………………………………………………………………………..
Premesso che
● Il Piano Triennale per l'Informatica nella Pubblica Amministrazione 2019-2021 indica le linee di azione per promuovere la trasformazione digitale del settore pubblico e del Paese individuando tra i principi cardine quello del digital identity only, secondo il quale le pubbliche amministrazioni devono condurre azioni propedeutiche all'adozione di sistemi generalizzati di identità digitale;
● l'Accordo Quadro per la Crescita e la cittadinanza digitale tra le Regioni e le Province autonome e l'Agenzia per l'Italia digitale, ratificato dalla Conferenza delle Regioni e Province autonome in data 15 febbraio 2018 riconosce, tra l'altro, la possibilità per le Regioni e le Province autonome di mettere a disposizione nelle singole realtà regionali quanto realizzato nelle Agende digitali regionali, in termini di piattaforme di servizi, processi di qualificazione di soluzioni di mercato, gestione e accompagnamento al cambiamento tramite lo sviluppo di comunità della trasformazione digitale;
● la Regione Toscana, coerentemente con il proprio ruolo di intermediario tecnologico e organizzativo nei confronti degli enti del sistema territoriale, intende definire azioni sperimentali per supportare e facilitare la diffusione dell'identità digitale SPID sul proprio territorio;
● Lepida S.c.p.A. è la società costituita, con decorrenza 1° gennaio 2019, per effetto della fusione per incorporazione di CUP 2000 S.c.p.A. in Lepida S.p.A., giusta legge regionale n.1 del 16 marzo 2018 Razionalizzazione delle società in house della regione Xxxxxx-Romagna, in esito al percorso di razionalizzazione delle società partecipate avviato da Regione Xxxxxx-Romagna con D.G.R. n. 924/2015, 1175/2015, 514/2016, 1015/2016, 2326/2016, 1194/2017, 1419/2017;
● Lepida S.c.p.A. è una società a capitale interamente pubblico, partecipata da soggetti pubblici che comprendono tutti i Comuni, tutte le Province, tutti i Consorzi di Bonifica, tutte le Aziende Sanitarie e Ospedaliere, tutte le Università, buona parte delle Unioni di Comuni e varie ACER e ASP della Regione Xxxxxx-Romagna;
● ai sensi della Legge regionale n. 11/2004, così come modificata dalla citata L.R. n. 1/2018, Lepida S.c.p.A. opera a favore della Regione e degli altri soci pubblici ai sensi della vigente normativa in materia di in house providing, in particolare, ex artt. 16 del D.Lgs. 19 agosto 2016, n. 175 e s.m.i. (Testo unico in materia di società a partecipazione pubblica) e 5 del D.Lgs. 50/2016 e s.m.i. (Codice dei contratti pubblici);
● l’art. 3.2 dello Statuto societario dispone che Lepida S.c.p.A. ha scopo consortile e costituisce organizzazione comune dei Soci ai sensi degli articoli 2602 e 2615-ter c.c. operando senza scopo di lucro, anche con attività esterna, nell'interesse e per conto dei soci;
● Lepida S.c.p.A. è diventata Gestore di identità digitali (IDP SPID) su indicazione della Regione Xxxxxx-Romagna e degli Enti aderenti alla CNER come ribadito nella Delibera della Giunta Regionale dell'Xxxxxx-Romagna 420/2018;
● Lepida S.c.p.A. è dunque il primo e unico Gestore di Identità Digitali SPID di natura pubblica, rilascia identità digitali gratuite e si avvale della collaborazione di soggetti pubblici e privati per l'attivazione di sportelli preposti per l'identificazione a vista e da remoto dei soggetti richiedenti, oltre che per altre modalità di identificazione approvate da AgID, e per il rilascio delle identità digitali SPID, sulla base di accordi e formazione necessaria per garantire tutti i requisiti di conoscenza e il rispetto delle procedure definite da Lepida;
● Lepida S.c.p.A. fornisce il servizio di Gestore di identità digitali SPID, denominato LepidaID (xx.xxxxxx.xx), attraverso una piattaforma tecnologica e secondo un modello organizzativo gestionale nel rispetto delle modalità attuative e specifiche tecniche SPID e delle relative evoluzioni. Lepida eroga il servizio secondo il modello SPID, nel rispetto delle regole emesse da XxXX, fornisce le identità digitali e gestisce l'autenticazione degli utenti. Le identità digitali SPID rilasciate da Lepida sono gratuite e non prevedono costi ricorrenti a carico del cittadino;
● Lepida S.c.p.A. mette attualmente a disposizione dei cittadini diverse modalità di identificazione, tra cui quella di identificazione a vista del soggetto richiedente, gratuita, presso sportelli fisici, e quella di identificazione a vista da remoto (via webcam), preposti alla identificazione dei richiedenti e l'attivazione delle credenziali LepidaID nel rispetto delle procedure stabilite da Lepida. Tutte le procedure inerenti il servizio LepidaID sono oggetto di approvazione formale da parte di AgID e di certificazione e audit specifici, pertanto tutti gli attori, ivi compresi gli operatori di sportelli fisici e virtuali, devono attenersi rigorosamente alle procedure e alle indicazioni stabilite da Lepida anche al fine di garantire il rispetto delle misure di sicurezza e gli indicatori di qualità (Service Level Agreement), che prevedono anche che il rilascio delle credenziali avvenga entro i 5 giorni lavorativi dal momento in cui si è in possesso di tutta la documentazione di identificazione prevista;
● la Regione Toscana, coerentemente con il proprio ruolo di intermediario tecnologico e organizzativo nei confronti degli enti del sistema territoriale, intende definire azioni per supportare e facilitare la diffusione dell’identità digitale SPID sul proprio territorio;
● in tale ottica la Regione Toscana si fa carico del ruolo di Ente Capofila con funzione di coordinamento dei singoli enti pubblici del territorio che intendono aderire alla presente convenzione (di seguito denominati Enti Aderenti) tramite apposita richiesta di adesione secondo lo schema allegato parte integrante (“Allegato 1”)
si conviene quanto segue
ART.1 VALORE DELLE PREMESSE
1.1 Le premesse, riconosciute come essenziali, formano parte integrante e sostanziale del presente atto, di cui costituiscono altresì il presupposto.
ART.2 OGGETTO
2.1 La presente convenzione disciplina lo svolgimento, da parte del personale incaricato dalla Regione Toscana in veste di Ente Capofila e degli Enti Aderenti dell’attività di sportello del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle credenziali nel rispetto delle procedure stabilite da Lepida.
2.2 L’attività consiste nell’esecuzione delle funzioni di cui all’articolo 3 che segue, secondo le procedure operative stabilite da Lepida e di quelle approvate AgID nel rispetto della Convenzione che disciplina il rapporto nell’ambito di SPID tra Lepida e Convenzione Enti pubblici sportello LepidaID AgID con la descrizione e le caratteristiche dei servizi, ivi compresi gli indicatori di qualità e livelli di servizio.
ART.3 COMPITI E RUOLI
3.1 L’Ente Capofila e gli Enti Aderenti mettono a disposizione di Lepida, gratuitamente, degli sportelli sul proprio territorio per il servizio LepidaID con numero adeguato di risorse e si impegnano a comunicare a Lepida, e mantenere aggiornato, l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse.
3.2 L’Ente Capofila e gli Enti Aderenti si impegnano a individuare distintamente come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Xxxxxx e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità nelle quali potrebbero incorrere nello svolgimento di tale attività.
Inoltre, si impegnano a garantire il rispetto delle procedure e delle indicazioni di Lepida nel funzionamento degli sportelli.
3.3 L’Ente Capofila e gli Enti Aderenti nominano un proprio referente per tutte le attività inerenti LepidaID che sarà il soggetto titolato a richiedere, attraverso le modalità operative previste da Lepida, l’attivazione degli sportelli di competenza dell’Ente Capofila/Ente Aderente e a verificarne la corretta implementazione. Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali LepidaID e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio.
3.4 L’Ente Capofila e gli Enti Xxxxxxxx si impegnano a comunicare a Lepida, a mantenere aggiornate, tutte le informazioni necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida. Inoltre, si impegnano a garantire la presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori individuati, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure e allegata alla presente Convenzione (Allegato 2).
3.5 Lepida si impegna ad attivare e abilitare gli sportelli LepidaID messi a disposizione da parte dell’Ente Capofila e degli Enti Aderenti alla ricezione delle informazioni complete richieste e a garantire il supporto necessario in termini di formazione degli operatori, di messa a disposizione di
materiale formativo e informativo, di aggiornamento e supporto alle attività degli operatori nelle loro attività quotidiane oltre alla messa a disposizione dei dati aggregati relativi attività della presente convenzione.
3.6 Lepida si riserva la facoltà di effettuare degli audit, su propria iniziativa o su richiesta di XxXX, direttamente o indirettamente tramite soggetti autorizzati, sul funzionamento degli sportelli e il comportamento degli operatori.
ART. 4 DURATA
4.1 La presente convenzione ha durata di anni 1 decorrente dalla stipula della presente convenzione.
4.2 Prima della scadenza naturale della Convenzione le parti si impegnano ad incontrarsi per valutare una eventuale proroga della stessa.
ART. 5 SICUREZZA E RISERVATEZZA
5.1 L’Ente Capofila e gli Enti Aderenti hanno l’obbligo di mantenere riservati i dati e le informazioni di cui vengano in possesso e comunque a conoscenza tramite l'esecuzione della Convenzione, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione della Convenzione e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione di Lepida. L’obbligo sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione della Convenzione. L’obbligo non concerne i dati che siano o divengano di pubblico dominio.
5.2 L’Ente Capofila e gli Enti Aderenti sono responsabili per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza di cui Convenzione Enti pubblici sportello LepidaID al comma 5.1 e rispondono nei confronti di Lepida per eventuali violazioni dell’obbligo di
riservatezza commesse dai suddetti soggetti.
5.3 Sarà possibile ogni operazione di auditing da parte di Lepida attinente le procedure adottate da Lepida in materia di riservatezza e degli altri obblighi assunti dal presente contratto.
ART. 6 DESIGNAZIONE QUALE RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEL REGOLAMENTO U.E. 679/2016
6.1 In esecuzione della presente Convenzione, l’Ente Capofila e gli Enti Aderenti effettuano trattamento di dati personali di titolarità di Lepida. Infatti, Lepida e gli Enti della Community Network dell’Xxxxxx-Romagna (CNER) agiscono in regime di contitolarità dei trattamenti di dati personali relativamente alle utenze Federa tramutate in SPID, ai sensi e per gli effetti di cui all’art. 26 del Regolamento UE n. 679/2016.
Lepida assume il ruolo di Titolare dei trattamenti di dati personali relativi alle nuove utenze SPID LepidaID.
6.2 In virtù di tale trattamento, le Parti stipulano l’accordo di cui all’art. 7 al fine di disciplinare oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile.
6.3 L’Ente Capofila e gli Enti Aderenti sono, pertanto, designati da Lepida quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento - per il trattamento denominato “Attività di sportello del servizio LepidaID per l’identificazione dei
richiedenti e l’attivazione delle identità digitali” -, il quale si obbliga a dare esecuzione alla presente Convenzione conformemente a quanto previsto dall’art. 7 seguente.
6.4 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui art. 7, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
ART. 7 REGOLAMENTO TRATTAMENTO DEI DATI PERSONALI TRA TITOLARE E RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO U.E 2016/679
Lepida in qualità di Titolare del trattamento e l’Ente Capofila e gli Enti Aderenti designati Responsabili del trattamento dei dati personali ai sensi dell’art. 28 del GDPR (di seguito denominati Responsabile del trattamento), convengono quanto segue:
7.1.Trattamento dei dati nel rispetto delle istruzioni di Lepida
7.1.1 Il Responsabile del trattamento, relativamente a tutti i dati personali che tratta per conto di Lepida garantisce che:
7.1.1.1 tratta tali dati personali solo ai fini dell’esecuzione dell’oggetto della Convenzione, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite da Lepida
7.1.1.2 non trasferisce i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte da Lepida e a fronte di quanto disciplinato nel presente accordo;
7.1.1.3 non tratta o utilizza i dati personali per finalità diverse da quelle per cui è conferito incarico da Lepida, financo per trattamenti aventi finalità compatibili con quelle originarie;
7.1.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà Xxxxxx se, a suo parere, una qualsiasi istruzione fornita da Lepida si ponga in violazione di Normativa applicabile;
7.1.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga a adottare:
7.1.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate a Lepida dagli interessati relativamente ai loro dati personali;
7.1.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta di Lepida dei dati personali di ogni interessato;
7.1.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta di Lepida;
7.1.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta di Lepida.
7.1.3 Il Responsabile del trattamento deve garantire e fornire a Lepida cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
7.1.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
7.1.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che Lepida intenderà esperire sui trattamenti che
rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
7.2. Le misure di sicurezza
7.2.1 Il Responsabile del trattamento deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.
7.2.2 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
7.2.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti a Lepida, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
7.3. Analisi dei rischi, privacy by design e privacy by default
7.3.1 Con riferimento agli esiti dell’analisi dei rischi effettuata da Lepida sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste da Xxxxxx per affrontare eventuali rischi identificati.
7.3.2 Il Responsabile del trattamento dovrà consentire a Lepida, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
7.3.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
7.3.4 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy di privacy by design e by default adottate da Lepida e specificatamente comunicate.
7.4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
7.4.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto di Xxxxxx.
7.4.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
7.4.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nella Convenzione di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera degli incaricati.
7.5. Sub-Responsabili del trattamento di dati personali
7.5.1 Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione a Lepida ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute in presente Convenzione. Il
Responsabile del trattamento fornisce l’elenco dei sub-responsabili sino d’ora incaricati, e si impegna, in caso di sostituzione o aggiunta di nuovi sub-responsabili, e, prima della stipula dei relativi contratti di esternalizzazione di servizi, a trasmettere a Lepida l’identità ed i dati di contatto del nuovo sub-responsabile, e relative attività di trattamento delegate. Se entro 15 giorni dal ricevimento delle suddette informazioni l’Ente produttore non si oppone, il contratto di esternalizzazione con il nuovo sub-responsabile può essere concluso.
7.5.2 Su specifica richiesta di Lepida, il Responsabile del trattamento dovrà provvedere a che ogni sub-responsabile sottoscriva direttamente con Lepida un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini di presente Convenzione.
7.5.3 Il responsabile del trattamento risponde nei confronti di Xxxxxx, per qualsiasi violazione od omissione degli obblighi in materia di protezione dei dati realizzati da un sub-responsabile o da altri terzi soggetti incaricati dallo stesso, per culpa in eligendo e vigilando.
7.6. Trattamento dei dati personali al di fuori dell’area economica europea Lepida non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
7.7. Cancellazione dei dati personali
Il Responsabile del trattamento e eventuali sub-responsabili, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione di presente Convenzione al termine dell’affidamento o del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto da Lepida, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
7.8. Audit
7.8.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy da parte di Lepida.
7.8.2 L’esperimento di tali audit non deve avere a oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
7.9. Indagini dell’Autorità e reclami
Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi sub responsabile informa senza alcun indugio Lepida di qualsiasi
- richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;
- istanza ricevuta da soggetti interessati.
Il Responsabile del trattamento fornisce, in esecuzione della Convenzione e, tutta la dovuta assistenza a Lepida per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.
7.10. Violazione dei dati personali e obblighi di notifica
7.10.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento, deve comunicare a mezzo di posta elettronica certificata a Lepida nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-responsabile. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali;
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
7.10.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario a Lepida ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con Lepida, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto di Xxxxxx.
7.11. Responsabilità e manleve
7.11.1 Il Responsabile del trattamento tiene indenne e manleva Lepida da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute in presente Convenzione.
7.11.2 A fronte della ricezione di un reclamo relativo alle attività oggetto di presente Convenzione, il Responsabile del trattamento:
7.11.2.1 avverte, prontamente ed in forma scritta, Lepida del reclamo
7.11.2.2 non fornisce dettagli al reclamante senza la preventiva interazione con Lepida
7.11.2.3 non transige la controversia senza il previo consenso scritto di Xxxxxx;
7.11.2.4 fornisce a Lepida tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
ART. 8 CORRISPETTIVI E ONERI
La presente convenzione non comporta oneri in capo alle parti, fatti salvi eventuali costi di mero funzionamento del sistema a carico di Lepida S.c.p.A., dell’Ente Capofila e degli Enti Aderenti per quanto di propria competenza.
ART.9 CONTROVERSIE
9.1 La Convenzione e le obbligazioni da esso derivanti sono interamente soggette dalla legge italiana.
9.2 Per tutte le controversie circa esistenza, validità, interpretazione, esecuzione e adempimento del presente Convenzione le Parti si obbligano ad esperire preventivamente un tentativo di conciliazione, utilizzando le modalità previste dalla C.C.I.A.A. di Bologna.
9.3 Nell'ipotesi di fallimento della procedura conciliativa, la competenza relativamente alle controversie insorte tra le parti appartiene in via esclusiva al Tribunale di Bologna, nel rispetto delle norme inderogabili in materia di giurisdizione e competenza, con espressa esclusione della possibilità di accedere ad arbitrato.
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; “GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP art. 29.
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
Allegati:
- Allegato 1: Schema di adesione
- Allegato 2: LepidaID - Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Schema di Adesione alla Convenzione tra la Regione Toscana e la Società Lepida S.c.p.A. per l’attivazione di sportelli LepidaID nel territorio regionale al fine di promuovere il rilascio della identità digitale unica SPID per il cittadino.
Il/la Rappresentante Legale / Delegato/a alla firma in nome e per conto di
(di seguito denominato Ente Aderente)
VISTO il Piano triennale per l’ICT nelle PA 2019-2021 e l’Accordo Quadro per la Crescita e la Cittadinanza Digitale tra le Regioni e le Province autonome e l’Agenzia per l’Italia Digitale;
RICORDATO che la Regione Toscana ha aderito al sistema SPID nel duplice ruolo di erogatore diretto dei servizi e di intermediario tecnologico per gli enti del territorio, mettendo a disposizione degli enti e dei rispettivi utenti una piattaforma unica e centralizzata per la fruizione di servizi digitali in molteplici ambiti di interesse, accessibili sia con carta Nazionale dei Servizi (CNS-TS), con il sistema SPID che con la Carta di Identità Elettronica;
VISTO l’art. 14, commi 2-bis e 2-ter del Codice dell'amministrazione digitale (CAD) (decreto legislativo n. 82 del 7 marzo 2005 e s.m.i.) in base alle quali anche Regione Toscana e gli enti locali digitalizzano la loro azione amministrativa e implementano l'utilizzo delle tecnologie dell'informazione e della comunicazione per garantire servizi migliori ai cittadini e all’impresa nonché promuovono sul territorio azioni tese a realizzare un processo di digitalizzazione dell'azione amministrativa coordinato e condiviso tra le autonomie locali; l’art. 64. 2-quater CAD prevede che l'accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID;
VISTA la Convenzione tra Regione Toscana (Ente Capofila) e la Società Lepida per l’attivazione di sportelli LepidaID sul territorio regionale al fine di promuovere la creazione della identità digitale unica SPID per il cittadino,
VISTA la propria delibera di adesione del con contestuale autorizzazione a contrarre
DICHIARA DI ADERIRE
alla Convenzione di collaborazione siglata tra la regione Toscana e la Società Lepida di cui sopra (di seguito denominata Convenzione Regione Toscana e Società Lepida).
Il sottoscritto dichiara altresì di essere pienamente a conoscenza della Convenzione Regione Toscana e Società Lepida indicata in epigrafe nonché dei rispettivi allegati tra cui in particolare l’art. 7, “Trattamento di dati personali tra Titolare e Responsabile del trattamento ai sensi dell’art. 28 del Regolamento U.E. 2016/679”, a cui aderisce pienamente in nome e per conto dell’Ente Aderente. In particolare, in osservanza a quanto indicato all’art. 3 “Compiti e ruoli” si impegna:
1. a mettere a disposizione di Lepida, gratuitamente, degli sportelli sul territorio per il servizio LepidaID con personale adeguatamente formato nell'ambito del personale in servizio presso i singoli Enti e si impegna a comunicare a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse;
2. mantenere aggiornato, l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse;
3. a individuare come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Xxxxxx e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità nelle quali potrebbero incorrere nello svolgimento di tale attività;
4. ad autorizzare per iscritto il proprio personale alle attività di trattamento dei dati correlate alla verifica dell’identità dei richiedenti ai sensi degli articoli 29 e 32 del GDPR;
5. a garantire il rispetto delle procedure e delle indicazioni di Lepida nel funzionamento degli sportelli;
6. a nominare un proprio referente per tutte le attività inerenti LepidaID e sarà il soggetto titolato a richiedere, attraverso le modalità operative previste da Lepida, l’attivazione degli sportelli di competenza dell’Ente aderente e verificarne la corretta implementazione. Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali LepidaID e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio;
7. a comunicare a Lepida, a mantenere aggiornate, tutte le informazioni necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida;
8. a garantire la presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori individuati, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure.
Inoltre, l’Ente Aderente si impegna a comunicare tempestivamente a Regione Toscana , in qualità di Ente Capofila, qualsiasi modifica dovesse interessare i dati e le informazioni oggetto della presente dichiarazione di adesione.
Il legale rappresentante (o soggetto autorizzato alla firma) dell’Ente Aderente
LepidaID - Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Oggetto: dichiarazione di impegno dei soggetti deputati alla verifica dell’identità dei titolari
Con riferimento al regolamento SPID (versione 2.0 del 22 luglio 2016) recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale (articolo 1, comma 1, lettera I),
DPCM 24 ottobre 2014 (nel seguito DPCM), con la presente [Nome, Cognome]
operante presso la sede
[sede operativa adibita al rilascio delle identità]
dichiara
- l’impegno ad operare come indicato nelle procedure descritte nel documento “IdP Lepida S.c.p.A.
- Procedure di verifica dell’identità digitale dei titolari” e secondo il Regolamento Recante le Modalità attuative per la realizzazione dello SPID (art.4, comma 2, DPCM 24 ottobre 2014)
- la presa d’atto delle responsabilità eventualmente derivanti dalla mancata applicazione delle procedure previste.
Data,
Luogo,
Firma