CONVENZIONE PER L’ADESIONE DELLE PUBBLICHE AMMINISTRAZIONI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
CONVENZIONE PER L’ADESIONE DELLE PUBBLICHE AMMINISTRAZIONI AL SISTEMA PUBBLICO PER LE IDENTITÀ DIGITALI
Il <giorno> del mese di <mese> dell’anno <anno>
TRA
L’Agenzia per l’Italia Digitale (di seguito “AgID”), codice fiscale n. 97735020584, in persona del Direttore e legale rappresentante pro tempore, dott. , nato a il , con sede in Roma alla ,
e
L’amministrazione Regione Umbria (di seguito Amministrazione), con sede in Xxxxx Xxxxxxxx,00 - 00000 Xxxxxxx (XX), codice fiscale/partita IVA 80000130544, codice di iscrizione all’Indice delle Pubbliche Amministrazioni e dei gestori di pubblici servizi (I.P.A.) r_umbria nella persona del in qualità di ,
PREMESSO CHE
a) l ’ a r t i c o l o 6 4 d e l D e c r e t o l e g i s l a t i v o n . 8 2 / 2 0 0 5 ( C o d i c e dell’Amministrazione Digitale, di seguito “CAD”) prevede che “per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (di seguito “SPID”);
b) l’articolo 64, comma 2-quater del CAD stabilisce che “Il sistema SPID è
adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies”;
c) l’articolo 64, comma 2-sexies del CAD stabilisce che “Con decreto del Presidente del Consiglio dei ministri, [OMISSIS], sono definite le caratteristiche del sistema SPID, anche con riferimento:
a) al modello architetturale e organizzativo del sistema;
b) alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identi tà digitale;
c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identi tà digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1;
d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;
e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;
f) alle modalità di adesione da parte delle imprese interessa te in qualità di erogatori di servizi in rete”;
d) nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014, è stato pubblicato il DPCM 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese” (di seguito DPCM);
e) il DPCM stabilisce le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano;
f) l’art. 4 del DPCM prevede l’attivazione dello SPID da parte dell’AgID, che a tal fine è chiamata svolgere le seguenti attività:
- gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
- cura l’aggiornamento del Registro SPID e vigila sull’ operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell’identità digitale, i dati identificativi dell’utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
- stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità.
g) l’art. 13, comma 1, del DPCM stabilisce che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia il cui schema è definito nell’ambito dei regolamenti attuativi di cui all’art. 4 “;
h) l’art. 14, comma 1, del DPCM stabilisce che “nel rispetto dell’art. 64, comma2 del CAD, le pubbliche amministrazioni che erogano in rete servizi qualificati, direttamente o tramite altro fornitore di servizi, consentono
l’identificazione informatica degli utenti attraverso l’uso di SPID”;
i) l’art. 14, comma 2, del DPCM stabilisce che “ le pubbliche amministrazioni di cui all’art. 2, comma 2, del CAD aderiscono allo SPID, secondo le modalità stabilite dall’Agenzia ai sensi dell’art. 4, entro i ventiquattro mesi successivi all’accreditamento del primo gestore dell’identi tà digitale ”;
j) l’art. 14, comma 5, del DPCM stabilisce che “Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identi tà digitali e dai gestori di attributi qualificati ”;
k) l’art. 1 lettera i) del DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 0, xxxxx 0, xxxxxxx x) , xxx xxxxxxx legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità e ne ricevono l'esito ”;
l) l’art. 1 lettera i) del DPCM stabilisce, inoltre, che “i fornitori di servizi,
nell'accettare l’identità digitale, non discriminano gli utenti in base al gestore dell’identità digitale che l'ha fornita ”;
m) con Determinazione AgID n. 44/2015 del 28 luglio 2015, sono stati emanati i regolamenti previsti dall’art. 4, commi 2 e 3, DPCM, tra i quali rientrano:
- le regole tecniche e delle modalità attuative per la realizzazione dello SPID; - le modalità di accreditamento dei soggetti SPID;
- le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale;
n) la Regione Umbria ha improntato la sua azione allo sviluppo di infrastrutture tecnologiche abilitanti alla cittadinanza digitale con la L.R. 16 settembre 2011, n. 8 recante “Semplificazione amministra tiva e normativa dell'ordinamento regionale e degli Enti locali terri toriali”, mettendo a disposizione per tutte le PA del territorio i servizi infrastrutturali (art.10) e, promuovendo i servizi per l'identità digitale in connessione allo SPID (art.12):
Art. 10 - Servizi infrastrutturali regionali per l'amministrazione digitale
1. La Regione promuove e favorisce l'esercizio dei diritti per l'utilizzo degli strumenti informatici e telematici nei rapporti con la pubblica amministrazione da parte di cittadini e imprese, nel rispetto del disposto del decreto legislativo 30 giugno 2003, n. 196(Codice in materia di protezione dei dati personali) e del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale), garantendo i servizi infrastrutturali abilitanti per l'erogazione di servizi applicativi e telematici da parte delle pubbliche amministrazioni del territorio, compresi i servizi per la sicurezza, l'identità digitale e la cooperazione applicativa, che costituiscono la "community network regionale" a standard del Sistema Pubblico di Connettività (SPC).
2. La Regione opera per servizi integrati più efficienti e semplificati per i cittadini e le imprese sul territorio regionale concludendo, a tal fine, specifici accordi di collaborazione anche con le amministrazioni centrali, con le loro sedi sul territorio regionale nonché con le altre regioni e le province autonome.
3. La realizzazione di quanto previsto nel presente articolo costituisce svolgimento di funzioni istituzionali.
Art. 12 - Promozione dei servizi telematici e dell'identità digitale regionali
1. Al fine di assicurare a cittadini e imprese facilità ed uniformità nell'accesso dei servizi telematici forniti ai soggetti di cui all'articolo 11, la Regione mette a disposizione e promuove l'impiego dei servizi infrastrutturali per l'identità digitale che possono contenere il profilo di autorizzazione degli utenti dei servizi telematici, abilitazione e delega per eventuali intermediari e soluzioni di firma elettronica avanzata nell'ambito della community network regionale ed in connessione al Sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) di cui all'articolo 64 del d.lgs. 82/2005.
2. La Regione assicura l'accesso ai servizi telematici e l'utilizzo della Posta Elettronica Certificata (PEC) da parte di cittadini e imprese, anche attraverso appositi accordi con gli ordini professionali e le associazioni di categoria.
3. La Regione promuove l'implementazione di servizi telematici, la partecipazione e l'accesso ai procedimenti in via telematica, l'utilizzo della PEC e della cooperazione applicativa da parte dei soggetti di cui all'articolo 11.
TUTTO CIÒ PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE
Art. 1 – Oggetto e finalità della convenzione
1. La presente Convenzione disciplina il rapporto fra AgID e Regione Umbria (di seguito “Amministrazione”) nell’ambito del Sistema pubblico di identità digitali (SPID) per l’espletamento da parte dell’Amministrazione di tutte le attività necessarie per l’adesione a SPID.
2. Sottoscrivendo il presente atto, l’Amministrazione si impegna a rispettare
la normativa vigente che disciplina lo SPID nonché le regole e i relativi aggiornamenti emanati da AgID.
3. Entro il termine di dieci giorni dalla stipula della presente Convenzione, XxXX dispone l'iscrizione dell’Amministrazione nell’apposito registro di cui all’art.1, comma 1, lett. s) del DPCM.
Art. 2 - Obblighi dell’Amministrazione
1. L’Amministrazione, a seguito dell’iscrizione nel Registro SPID, si obbliga:
a) a comunicare ad AgID l’elenco dei servizi qualificati erogati in rete attivi anche nel formato metadata specificato nei Regolamenti attuativi del sistema SPID adottati dall’Agenzia; tale elenco dovrà essere costantemente aggiornato e pubblicato sul sito istituzionale dell’Amministrazione alla URL xxxx://xxx.xxxxxxx.xxxxxx.xx/xxxxxxx- online;
b) a comunicare ad AgID, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi SPID necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio;
c) inviare ad AgID una sintetica nota che, ai sensi di quanto previsto dall’art. 6, comma 5, del DPCM e dall’art. 3, comma 1, lett. b), del Regolamento AgID sulle modalità attuative, fornisca una motivazione in merito ai livelli di sicurezza adottati e agli attributi (identificativi, non identificativi e qualificati) richiesti per ciascuno dei servizi erogati;
d) a porre in essere ogni attività strumentale all’adesione allo SPID e connessa al corretto accesso al Registro, nel rispetto delle modalità definite da AGID in conformità al Regolamento recante le regole tecniche.
e) a rispettare quanto specificato nell’Appendice D2 del Regolamento sulle modalità attuative con riferimento all’accesso ai medesimi servizi qualificati erogati in rete e all’Appendice E del medesimo Regolamento inerente l’uso degli elementi grafici identificativi dello SPID;
f) a comunicare tempestivamente all’indirizzo xxxxxxxxxx@xxx.xxxx.xxx.xx ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione fermo restando l’obbligo per le pubbliche amministrazioni di comunicare - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e ad
AgID eventuali | violazioni ed intrusioni nei dati personali dei soggetti per |
i quali chiede | la verifica dell’identità digitale, anche in conformità al |
Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015, riguardante “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”;
g) a vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n. 196, in particolare per quanto concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, l’amministrazione si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente;
h) a registrare gli eventi relativi a richieste di accesso ai servizi (log) secondo quanto previsto nei regolamenti AgID;
i) a garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto
del Ministro dell’Industria del commercio ed artigianato 30 novembre | |||
1993, n. 591, con una differenza non superiore ad un minuto primo; | |||
j) | a garantire la disponibilità delle funzioni, l'applicazione dei | modelli | |
architetturali secondo le disposizioni previste dal | DPCM e | dai | |
Regolamenti attuativi AgID; | |||
k) ad assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il gestore delle identità digitali coinvolto nella transazione (help desk di secondo livello).
2. L’Amministrazione, inoltre, si impegna a collaborare con XxXX nell’attività di monitoraggio e controllo e, in particolare, si obbliga:
a) ad inviare ad AgID, in forma aggregata, i dati da questa richiesti che possono esser utilizzati esclusivamente a fini statistici, che possono essere resi pubblici in forma aggregata. AgID, prima della pubblicazione, verifica che i dati
resi pubblici siano effettivamente anonimi nel loro complesso, individuando la presenza di eventuali outlier statistici generati durante le fasi di analisi;
b) a dare immediata comunicazione ad AgID di ogni circostanza che possa avere influenza sull’esecuzione delle attività di cui alla presente Convenzione;
3. L’Amministrazione, inoltre, per quanto riguarda il rapporto con altri Enti della regione Umbria che volessero usufruire del sistema SPID si impegna a:
a) mettere a disposizione degli enti pubblici, territoriali e non, ed agli enti privati a controllo pubblico (di seguito Enti) presenti sul territorio regionale le infrastrutture, reti e sistemi di cui al precedente punto n) delle premesse ai fini dell’adesione a SPID, nonché a tal fine a consentire l’integrazione nelle stesse reti dei sistemi, reti ed applicazioni di tutti gli enti pubblici predetti;
b) raccogliere le adesioni al sistema SPID degli Enti collocati sul proprio territorio, nel rispetto di tutto quanto previsto dalla normativa di riferimento e dalla presente convenzione, a mezzo di apposito accordo conforme allo schema di cui all’allegato 1 che verrà sottoscritto anche da XxXX per presa visione e accettazione;
c) ad operare quale intermediario tecnologico tra AgID e gli Enti per l’adesione degli stessi al sistema SPID;
d) a garantire che l’accordo sottoscritto tra l’Amministrazione e gli Enti preveda in capo a questi i medesimi obblighi e doveri previsti per l’Amministrazione dalla presente convenzione;
e) a vigilare, nell’interesse e con la supervisione di XxXX, sulla corretta attuazione, da parte degli Enti, di tutti gli obblighi previsti dagli accordi stipulati tra l’Amministrazione e gli stessi, ed in particolare sul rispetto di quanto previsto dal Decreto Legislativo 30 giugno 2003 n. 196;
f) a trasmettere senza ritardo ad AgID per conto degli Enti, anche in forma aggregata, tutti i dati, gli avvisi, le comunicazioni e segnalazioni dagli
stessi trasmessi, con le modalità ed i tempi cui si deve attenere la stessa Amministrazione;
g) a trasmettere senza ritardo agli Enti per conto di XxXX tutti i dati, gli avvisi, le segnalazioni e le comunicazioni dalla stessa ricevuti, nonché ad attuare immediatamente nei confronti degli stessi, qualora richiesto da XxXX, tutti gli atti ed i provvedimenti previsti dalla presente convenzione, anche sanzionatori, adottati o irrogati dalla stessa XxXX verso gli Enti;
h) a comunicare e concordare ogni modifica o variazione degli accordi tra l’Amministrazione e gli Enti, precedente o successiva la stipula dello stesso;
i) a comunicare ad AgID i nominativi ed i recapiti pec dei referenti individuati dagli Enti negli accordi stipulati con l’Amministrazione.
Art. 3 – Compiti dell’Agenzia per l’Italia Digitale
1. L'AgID cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti attività:
a) gestire l'accreditamento dei gestori dell'identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni;
b) stipulare convenzioni con le pubbliche amministrazioni ed i privati in qualità di fornitori di servizi qualificati erogati in rete;
c) curare l'aggiornamento del registro SPID e vigilare sull'operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell'identità digitale, i dati identificativi dell'utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate;
d) stipulare apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità.
2. AgID nell’ambito delle proprie attività di vigilanza e controllo sullo SPID:
a) pubblica statistiche e dati aggregati sullo SPID;
b) | riceve da tutti i soggetti di cui all’art. 3, comma | 1, | del DPCM le |
segnalazioni di malfunzionamenti o incidenti di sicurezza; | |||
c) | trasmette ai soggetti di cui all’art. 3, comma 1, | del | DPCM ogni |
informazione rilevante per la propria attività; | |||
d) valuta l’applicazione di quanto previsto dai Regolamenti AgID, promuovendo la soluzione di eventuali problematiche di interoperabilità;
e) segnala all’Amministrazione le eventuali difformità riscontrate;
f) promuove l'adozione di criteri per rendere omogenei e congruenti a livello nazionale l’uso dei livelli di credenziali;
g) rende pubblici annualmente i risultati del proprio lavoro.
Art. 4 – Trattamento dei dati
1. L’Amministrazione si impegna a trattare i dati personali nell’ambito dell’erogazione del servizio qualificato erogato in rete nel rispetto del principio di necessità e delle altre garanzie fissate dal Codice sulla protezione dei dati personali e per le finalità previste nell’art. 64 del CAD e nell’art. 2, comma 2, del DPCM, secondo le modalità fissate nei Regolamenti attuativi dell’AgID.
Art. 5 – Durata, modifiche e integrazioni
1. La presente Convenzione ha durata quinquennale, a decorrere dalla sua sottoscrizione da parte dell’AgID, e non può essere oggetto di rinnovo tacito.
2. La presente convenzione è unica per tutti le Amministrazioni. Modifiche e/o integrazioni saranno possibili, acquisito il parere del Garante per la protezione dei dati personali, in presenza di accordo delle parti oltre che in
tutti i casi sia necessario adeguarne il contenuto al mutamento della normativa e dei Regolamenti adottati da AgID.
3. Gli accordi stipulati tra l’Amministrazione e gli Enti avranno la medesima scadenza naturale della presente convenzione, e si rinnoveran no tacitamente al rinnovo della stessa; tali accordi dovranno essere modificati, integrati o aggiornati in modo da garantirne la conformità alle norme vigenti ed alla presente convenzione in caso di modifica, integrazione o sostituzione della stessa.
4. Tutto quanto previsto dai precedenti commi è valido anche con riferimento all’adesione al sistema SPID dei singoli Enti, nei confronti dei quali XxXX può agire ai sensi del presente articolo, anche con i provvedimenti prescrittivi, sanzionatori o risolutori, direttamente o per il tramite dell’Amministrazione, anche nei casi di cu al successivo art.7.
Art. 6 – Figure di riferimento per l’attuazione della convenzione
1. Sia l’AgID che l’Amministrazione nominano un proprio Referente che vigilano sulla corretta applicazione della presente convenzione.
2. AgID nomina quale proprio referente Xxxxxxxxx Xxxxxxxxxx, recapito pec xxxxxxxxxx@xxx.xxxx.xxx.xx, mentre l’Amministrazione nomina quale proprio referente recapito pec .
3. Le parti delegano i rispettivi “Referenti SPID” ad eseguire e ricevere ogni comunicazione conseguente alla stipula della presente convenzione e si impegnano a comunicare tempestivamente ogni variazione del nominativo e dei recapiti dei referenti.
Art. 7 – Inadempimento e risoluzione della Convenzione
1. Quando nell’attività di valutazione, controllo o vigilanza, vengano
riscontrati inadempimenti dell’Amministrazione degli obblighi assunti con la presente Convenzione nonché degli gli altri obblighi in capo ai fornitori di servizi previsti nel DPCM e nei Regolamenti attuativi del sistema SPID, AgID invia una contestazione, prescrivendo ove necessario le attività che devono essere poste in essere al fine del ripristino della regolarità del servizio reso agli utenti.
2. Nei casi di violazione di particolare gravità oppure nel caso di mancato adeguamento dell’Amministrazione alle prescrizioni richieste, AgID nel termine assegnato ha diritto di dichiarare risolta ipso jure la presente convenzione.
3. Nel caso in cui l’Amministrazione cessi la propria attività di erogazione di servizi qualificati la presente convenzione è risolta ipso jure.
4. La risoluzione della presente convenzione con l’ Amministrazione non determina il venir meno dell’adesione a SPID degli Enti né la validità dei relativi accordi, che, salvo diversi provvedimenti, resteranno validi fino alla naturale scadenza.
Art. 8 – Disposizioni finali
1. La presente convenzione produce i suoi effetti a far data dalla data di sottoscrizione da parte del legale rappresentante p.t. dell’Agenzia per l’Italia Digitale.
2. Per quanto non espressamente previsto, si fa espresso rinvio al DPCM, ai Regolamenti SPID adottati da AgID e alle altre disposizioni vigenti in materia.
Firmato digitalmente da AgID Firmato digitalmente da Regione Umbria
Xxxx. Xxxxxxx Xxxxxxxxxx _ _