ALLEGATO A
ALLEGATO A
CONVENZIONE PER L’ATTIVAZIONE DI SPORTELLI LEPIDAID AL FINE DI PROMUOVERE IL RILASCIO DELLA IDENTITÀ DIGITALE UNICA SPID PER IL CITTADINO
Tra
LEPIDA S.c.p.A., con sede legale in Xxxxxxx, Xxx xxxxx Xxxxxxxxxxx x. 00, capitale sociale € 69.881.000,00, n. di iscrizione alla CCIAA di Bologna, C.F. e P.I 02770891204, di seguito indicata come “Lepida” o “Società”, nella persona del Direttore Generale , che agisce in base alla Procura speciale autenticata nella
firma dal Notaio Xxxxxx in data 26 gennaio 2017 Repertorio n. 58862/28923 registrata all'Agenzia delle
1
Entrate di Bologna il 26 gennaio 20 gennaio 2017 al n. 7229;
7 al n. 1621 serie 1T e iscritta al Registro delle Imprese di Bologna il 30
e
Regione Toscana (di seguito denominata “Ente Capofila”), con sede in Firenze, Palazzo Sacrati Strozzi, Xxxxxx Xxxxx x. 00 , C.F./P.I. 01386030488, nella persona di Ing. ...................... Direttore Sistemi Informativi, Infrastrutture Tecnologiche e Innovazione , C.F domiciliato per la presso la sede dell'Ente, il
n
quale interviene al presente atto i
forza dell’incarico ricevuto con Decreto del
Presidente della Giunta
Regionale n. 28 del 28.2.2022 ed autorizzato alla firma del presente atto con DGR .......................
Premesso che
c
1. Il Piano Triennale per l'Informati a nella Pubblica Amministrazione 2024-2026 indica le linee di azione per
a
promuovere la trasformazione digitale del settore pubblico e del Paese individu ndo tra i principi cardine
quello del digital identity only, secondo il quale le pubbliche amministrazioni devono condurre azioni
propedeutiche all'adozione di sistemi generalizzati di identità digitale;
2. L'Accordo Quadro per la Crescita e la cittadinanza digitale tra le Regioni e
le Province autonome e
d
n
l'Agenzia per l'Italia digitale, ratificato dalla Conferenza delle Regioni e Province autonome in data 15 febbraio 2018 riconosce, tra l'altro, la possibilità per le Regioni e le Province autonome di mettere a disposizione nelle singole realtà regionali quanto realizzato nelle Agende digitali regionali, in termini di
piattaforme di servizi, processi
i qualificazione di soluzioni di mercato, gestio
e e accompagnamento al
cambiamento tramite lo sviluppo di comunità della trasformazione digitale;
3. la Regione Toscana, coerentemente con il proprio ruolo di intermediario tecnologico e organizzativo nei
e
confronti degli enti del sistema t rritoriale, intende definire azioni sperimentali per supportare e facilitare la
diffusione dell'identità digitale SPID sul proprio territorio;
4. in tale ottica la Regione Toscana si fa carico del ruolo di Ente Capofila con funzione di coordinamento dei
singoli Enti Territoriali che intendono aderire alla presente convenzione (di seguito denominati Enti
Aderenti) tramite apposita richiesta di adesione secondo lo schema allegato quale parte integrante del presente atto (“Allegato 1”);
5. Lepida è la società costituita, con decorrenza 1° gennaio 2019, per effetto della fusione per incorporazione di CUP 2000 S.c.p.A. in Lepida S.p.A., giusta Legge regionale n. 1 del 16/03/2018 “Razionalizzazione delle società in-house della regione Xxxxxx-Romagna”, in esito al percorso di razionalizzazione delle società partecipate avviato da Regione Xxxxxx-Romagna con D.G.R. n. 924/2015, 1175/2015, 514/2016, 1015/2016, 2326/2016, 1194/2017, 1419/2017;
6. Lepida è una società a capitale interamente pubblico, partecipata da soggetti pubblici che comprendono tutti i Comuni, tutte le Province, tutti i Consorzi di Bonifica, tutte le Aziende Sanitarie e Ospedaliere, tutte le Università, buona parte delle Unioni di Comuni e varie ACER (Azienda Casa Xxxxxx-Romagna) e ASP (Azienda Sanitaria Provinciale) della Regione Xxxxxx-Romagna.
7. ai sensi della Legge regionale n. 11/2004, così come modificata dalla citata L.R. n. 1/2018, Lepida opera a favore della Regione e degli altri soci pubblici ai sensi della vigente normativa in materia di “in house providing”, in particolare, ex artt. 16 del D.Lgs. 19 agosto 2016, n. 175 e s.m.i. (Testo unico in materia di società a partecipazione pubblica) e 7 del D. Lgs. 36/2023 e s.m.i. (Codice dei contratti pubblici);
8. l’art. 3.2 dello statuto societario di Lepida dispone che la Società ha scopo consortile e costituisce
organizzazione comune dei Soci ai sensi degli articoli 2602 e 2615-ter c.c. operando senza scopo di lucro, anche con attività esterna, nell’interesse e per conto dei soci;
9. Lepida è diventata gestore di identità digitali (IDP SPID) su indicazione della Regione Xxxxxx-Romagna e degli Enti aderenti alla CNER (Community Network Xxxxxx-Romagna) come è ribadito nella Delibera della Giunta Regionale dell’Xxxxxx-Romagna 420/2018.
10. Lepida è il primo e unico gestore di identità digitali SPID di natura pubblica, rilascia, nel pieno rispetto delle vigenti disposizioni, identità digitali gratuite e si avvale della collaborazione di soggetti pubblici e privati per l’attivazione di sportelli preposti all’identificazione a vista dei soggetti richiedenti e per il rilascio delle identità digitali SPID, sulla base di accordi e formazione necessaria per garantire tutti i requisiti di conoscenza e il rispetto delle procedure definite da Lepida.
11. Lepida fornisce il servizio di gestore di identità digitali SPID, denominato LepidaID (xx.xxxxxx.xx), attraverso una piattaforma tecnologica e secondo un modello organizzativo gestionale nel rispetto delle modalità attuative e specifiche tecniche SPID e delle relative evoluzioni. Lepida eroga il servizio secondo il modello SPID, nel rispetto delle regole emesse da XxXX, fornisce le identità digitali e gestisce l’autenticazione degli utenti. Le identità digitali SPID rilasciate da Lepida sono gratuite e non prevedono costi ricorrenti a carico del cittadino;
12. Lepida mette a disposizione dei cittadini cinque modalità di identificazione tra cui quella di identificazione a vista del soggetto richiedente, gratuita, presso sportelli fisici, preposti alla identificazione dei richiedenti e
all’attivazione delle credenziali LepidaID nel rispetto delle procedure stabilite da Lepida. Tutte le
procedure inerenti il servizio LepidaID sono oggetto di approvazione formale da parte di AgID e di
certificazione e audit specifici, pertanto tutti gli attori, ivi compreso gli operatori di sportello, devono
attenersi rigorosamente alle procedure e alle indicazioni stabilite da Lepida anche al fine di garantire il rispetto delle misure di sicurezza e gli indicatori di qualità (Service Level Agreement), che prevedono anche il rilascio delle credenziali entro 5 giorni lavorativi dal momento in cui si è in possesso di tutta la documentazione di identificazione prevista.
si conviene quanto segue
ART.1 - VALORE DELLE PREMESSE
Le premesse, riconosciute come essenziali, formano parte integrante e sostanziale del presente atto, di cui costituiscono altresì il presupposto.
ART.2 - OGGETTO
2.1 La presente convenzione disciplina lo svolgimento, da parte del personale incaricato da Regione Toscana in veste di Ente Capofila e degli Enti Aderenti dell’attività di sportello del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle credenziali nel rispetto delle procedure stabilite da Lepida.
2.2 L’attività consiste nell’esecuzione delle funzioni di cui all’articolo 3 che segue, secondo le procedure
operative stabilite da Lepida e di quelle approvate AgID nel rispetto della Convenzione che disciplina il
rapporto nell’ambito di SPID tra Lepida e AgID con la descrizione e le caratteristiche dei servizi, ivi compresi gli indicatori di qualità e livelli di servizio.
ART.3 - COMPITI E RUOLI
3.1 L’Ente Capofila e gli Enti Aderenti mettono a disposizione di Lepida, gratuitamente, degli sportelli sul proprio territorio per il servizio LepidaID con numero adeguato di risorse e si impegnano a comunicare a Lepida, e mantenere aggiornato, l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse.
3.2 L’Ente Capofila e gli Enti Xxxxxxxx si impegnano a individuare distintamente come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, proprio personale che abbia seguito la formazione prevista da Xxxxxx e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità nelle quali potrebbero incorrere nello svolgimento di tale attività. Inoltre, si impegnano a garantire il rispetto delle procedure e delle indicazioni di Lepida nel funzionamento degli sportelli.
3.3. L’Ente Capofila e gli Enti aderenti possono avvalersi anche di soggetti terzi per lo svolgimento delle operazioni di sportello necessarie al rilascio dell’identità digitale Spid LepidaID come, a titolo esemplificativo, cooperative e associazioni di volontariato. Il rapporto tra l’Ente Capofila o gli Enti aderenti e tali soggetti terzi dovrà essere disciplinato da apposito accordo scritto, con il quale dovranno essere imposte le medesime condizioni contrattuali imposte da Lepida all’ Ente Capofila con la presente convenzione. Tale accordo dovrà essere messo a disposizione di Xxxxxx, a richiesta della stessa Società. Ai fini degli adempimenti in materia di trattamento dei dati personali di cui alla normativa vigente si precisa, inoltre, che i soggetti terzi in questione assumeranno il ruolo di sub - responsabili del trattamento dei dati personali designati nei confronti dell’Ente
Capofila e degli Enti aderenti, secondo quanto meglio specificato all’art. 7, par. 7.5., della presente
Convenzione il cui contenuto è da intendersi interamente applicabile anche nei confronti di tali soggetti.
L’Ente Capofila o gli Enti aderenti, inoltre, potranno servirsi anche di volontari del servizio civile per lo svolgimento delle attività di operatore di sportello.
I soggetti che operano come operatori di sportello per il rilascio delle identità digitali Xxxx XxxxxxXX e che non siano personale diretto dell’Ente Capofila e degli Enti aderenti dovranno seguire la formazione prevista da
Lepida e ad essi dovrà essere fornita ogni informazione relativa alle procedure responsabilità come meglio specificato al precedente paragrafo 3.2.
applicative ed alle loro
3.4 L’Ente Capofila e gli Enti Aderenti nominano un proprio referente per tutte le attività inerenti LepidaID che sarà il soggetto titolato a richiedere, attraverso le modalità operative previste da Lepida, l’attivazione degli sportelli di competenza dell’Ente Capofila/Ente Aderente e a verificarne la corretta implementazione. Tutte le
attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali
LepidaID e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio.
3.5 L’Ente capofila e gli Enti aderenti si impegnano a garantire che i soggetti incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica nonché ad adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione
elettronica o dei servizi forniti a Lepida, con specifico riferimento alle misure intese a prevenire
l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema. Si impegnano a comunicare a Lepida, a mantenere aggiornate, tutte le informazioni necessarie per l’attivazione degli sportelli di propria competenza per LepidaID secondo le procedure e le modalità di trasmissione previste da Lepida. Inoltre, si impegnano a garantire la presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da parte di tutti gli operatori individuati, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure e allegata al presente Accordo (Allegato 2).
3.6 Lepida si impegna ad attivare e abilitare gli sportelli LepidaID messi a disposizione da parte dell’Ente Capofila e degli Enti Aderenti alla ricezione delle informazioni complete richieste e a garantire il supporto necessario in termini di formazione degli operatori, di messa a disposizione di materiale formativo e informativo, di aggiornamento e supporto alle attività degli operatori nelle loro attività quotidiane.
3.7 Lepida si riserva la facoltà di effettuare degli audit, su propria iniziativa o su richiesta di XxXX, direttamente
o indirettamente tramite soggetti autorizzati, sul funzionamento degli sportelli e operatori.
il comportamento degli
ART. 4 - DURATA E RECESSO
4.1 La presente convenzione ha durata di anni 3 decorrenti dalla sottoscrizione della presente convenzione.
Prima della scadenza naturale della Convenzione le parti si impegnano ad incontrarsi per valutare un'eventuale proroga della stessa.
4.2 Ad entrambe le parti, inoltre, è attribuito il diritto di recedere dalla presente convenzione dandone
comunicazione, all’altra parte, almeno 2 mesi prima del giorno in cui il recesso avrà effetto. Il recesso, in particolare, potrà essere esercitato mediante la trasmissione di una comunicazione da inviarsi a mezzo PEC all’altra parte o, in alternativa, a mezzo Raccomandata A/R.
ART. 5 - SICUREZZA E RISERVATEZZA
5.1 L’Ente Capofila e gli Enti Aderenti hanno l’obbligo di mantenere riservati i dati e le informazioni di cui vengano in possesso e comunque a conoscenza tramite l'esecuzione della Convenzione, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione della Convenzione e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione di Lepida. L’obbligo sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione della Convenzione. L’obbligo non concerne i dati che siano o divengano di pubblico dominio.
5.2 L’Ente Capofila e gli Enti Aderenti sono responsabili per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza di cui al comma 5.1 e rispondono nei confronti di Xxxxxx per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
5.3 Sarà possibile ogni operazione di auditing da parte di Lepida attinente le procedure adottate da Lepida in materia di riservatezza e degli altri obblighi assunti dal presente contratto.
ART. 6 - DESIGNAZIONE QUALE RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEL REGOLAMENTO U.E. 679/2016
6.1 In esecuzione della presente Convenzione, l’Ente Capofila e gli Enti Aderenti effettuano trattamento di dati personali di titolarità di Lepida. Lepida assume il ruolo di Titolare dei trattamenti di dati personali relativi alle utenze SPID LepidaID.
6.2 In virtù di tale trattamento, le Parti stipulano l’accordo di cui all’art. 7 al fine di disciplinare oneri e
responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio seguito, anche “GDPR”) e da ogni altra normativa applicabile.
europeo n. 2016/679 (di
6.3 L’Ente Capofila e gli Enti Aderenti sono, pertanto, designati da Lepida quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento -per il trattamento denominato “Attività di sportello del servizio LepidaID per l’identificazione dei richiedenti e l’attivazione delle identità digitali”-, il quale si obbliga a dare esecuzione alla presente Convenzione conformemente a quanto previsto dall’art. 7 seguente.
6.4 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui art. 7, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
ART. 7 - REGOLAMENTO TRATTAMENTO DEI DATI PERSONALI TRA TITOLARE E RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO U.E 2016/679
Lepida in qualità di Titolare del trattamento e l’Ente Capofila e gli Enti Aderenti designati Responsabili del trattamento dei dati personali ai sensi dell’art. 28 del GDPR (di seguito denominati Responsabile del trattamento), convengono quanto segue:
7.1.Trattamento dei dati nel rispetto delle istruzioni di Lepida
7.1.1 Il Responsabile del trattamento, relativamente a tutti i dati personali che tratta per conto di Lepida garantisce che:
7.1.1.1 tratta tali dati personali solo ai fini dell’esecuzione dell’oggetto della Convenzione, e,
successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite da Lepida
7.1.1.2 non trasferisce i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte da Lepida e a fronte di quanto disciplinato nel presente accordo;
7.1.1.3 non tratta o utilizza i dati personali per finalità diverse da quelle per cui è conferito incarico da Lepida, financo per trattamenti aventi finalità compatibili con quelle originarie;
7.1.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà Xxxxxx se, a suo parere, una qualsiasi istruzione fornita da Lepida si ponga in violazione di Normativa applicabile;
7.1.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga a adottare:
7.1.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate a Lepida dagli
interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite da Lepida in materia;
7.1.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta di Lepida dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite da Lepida in materia; ;
7.1.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta di Lepida e/o a conformarsi alle istruzioni fornite da Lepida in materia;
7.1.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta di Lepida e/o a conformarsi alle istruzioni fornite da Lepida in materia;
7.1.2.5. somministrare agli interessati l’informativa per il trattamento dei dati personali utilizzando il fac- simile messo a disposizione dal Titolare.
7.1.3 Il Responsabile del trattamento deve garantire e fornire a Lepida cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
7.1.4 Il Responsabile del trattamento, ove tenuto ai sensi dell’art. 30 del Regolamento europeo 2016/679, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
7.1.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che Xxxxxx intenderà esperire sui trattamenti che rivelano, a Xxx insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
7.1.6. Fatti salvi gli artt. 82, 83, 84 del GDPR, qualora il Responsabile violi il GDPR determinando le finalità e i mezzi del trattamento, esso stesso sarà considerato Titolare autonomo del trattamento violato.
7.2. Le misure di sicurezza
7.2.1 Il Responsabile del trattamento deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.
7.2.2 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o
accidentale, danni, alterazioni,
divulgazioni o accessi non autorizzati, ed in
particolare, laddove il
trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
7.2.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti a Lepida, con
specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non
autorizzato a qualsiasi computer o sistema.
7.2.4. Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy dell’Ente in materia di privacy e sicurezza informatica, tra le quali:
o Modello Organizzativo in materia di Protezione dei Dati Personali di Lepida ScpA;
o Politica integrata dei sistemi di gestione di Lepida ScpA.
Entrambe sono disponibili sul sito istituzionale di Lepida ScpA, xxxxx://xxx.xxxxxx.xxx/xxxxxxx-
trasparente/altri-contenuti/dati-ulteriori.
7.2.5. Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
7.3. Analisi dei rischi, privacy by design e privacy by default
7.3.1 Con riferimento agli esiti dell’analisi dei rischi effettuata da Lepida sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste da Xxxxxx per affrontare eventuali rischi identificati.
7.3.2 Il Responsabile del trattamento dovrà consentire a Lepida, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di
determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed
organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
7.3.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
7.3.4 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy di privacy by design e by default adottate da Lepida e specificatamente comunicate mediante pubblicazione sul proprio sito istituzionale, Società Trasparente al link xxxxx://xxx.xxxxxx.xxx/xxxxxxx-xxxxxxxxxxx/xxxxx-xxxxxxxxx/xxxx- ulteriori sezioni “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” e “Ulteriori Informazioni”.
7.4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
7.4.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e
collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto di Xxxxxx.
7.4.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’Ente le evidenze di tale formazione.
7.4.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nella Convenzione di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera degli incaricati.
7.5. Sub-Responsabili del trattamento di dati personali
7.5.1 Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione a Lepida ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute in presente Convenzione. Il Responsabile del trattamento fornisce l’elenco dei sub-responsabili sino d’ora incaricati, e si impegna, in caso di sostituzione o aggiunta di nuovi sub-responsabili, e, prima della stipula dei relativi contratti di esternalizzazione di servizi, a trasmettere a Lepida l’identità ed i dati di contatto del nuovo sub-responsabile, e relative attività di trattamento delegate. Se entro 15 giorni dal ricevimento delle suddette informazioni l’Ente produttore non si oppone, il contratto di esternalizzazione con il nuovo sub-responsabile può essere concluso.
7.5.2 La designazione del “sub-responsabile” è conseguente alla verifica dei seguenti requisiti:
a) che il sub-responsabile abbia sede legale in uno degli Stati membri dell’UE;
b) che i dati non siano trasferiti in Paesi extra UE;
c) che il sub-responsabile sia subappaltatore o partner del Responsabile del trattamento sulla base di contratti continuativi di cooperazione, servizio e/o fornitura;
d) che il sub-responsabile sia in possesso della certificazione ISO/IEC 27001 o, parimenti, presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato dello stesso livello del Responsabile del trattamento;
e) che i compiti e le responsabilità correlate al trattamento dei dati personali di titolarità dell’Ente siano disciplinate da atto scritto tra Responsabile e Sub-responsabile.
7.5.3 Su specifica richiesta di Lepida, il Responsabile del trattamento dovrà provvedere a che ogni sub- responsabile sottoscriva direttamente con Lepida un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini della presente Convenzione.
7.5.4 Il responsabile del trattamento risponde nei confronti di Xxxxxx, per qualsiasi violazione od omissione degli obblighi in materia di protezione dei dati realizzati da un sub-responsabile o da altri terzi soggetti incaricati dallo stesso, per culpa in eligendo e vigilando.
7.5.5 Il Responsabile del trattamento concorda con il Sub-responsabile del trattamento una clausola del terzo
beneficiario secondo la quale, qualora il Responsabile del trattamento sia scomparso di fatto, abbia
giuridicamente cessato di esistere o sia divenuto insolvente, il Titolare del trattamento ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali.
7.6. Trattamento dei dati personali al di fuori dell’area economica europea
7.6.1 Lepida non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
7.7. Assistenza al Titolare del trattamento
7.7.1 Il Responsabile del trattamento notifica prontamente al Titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
7.7.2 Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento.
7.7.3 Oltre all'obbligo di assistere il Titolare del trattamento in conformità della clausola che precede, il Responsabile del trattamento assiste il Titolare del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del responsabile del trattamento:
a) l'obbligo di effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali («valutazione d'impatto sulla protezione dei dati») qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
b) l'obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio;
c) l'obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il titolare del trattamento qualora il responsabile del trattamento venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;
d) gli obblighi di cui all'articolo 32 regolamento (UE) 2016/679.
Nell'adempiere agli obblighi di cui alle lettere a) e b), il Responsabile del trattamento si attiene alle
istruzioni del titolare del trattamento.
7.8. Cancellazione dei dati personali
7.8.1 Il Responsabile del trattamento e eventuali sub-responsabili, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione di presente Convenzione al termine dell’affidamento o del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto da Lepida, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
7.8.2 I costi per la restituzione o cancellazione sono a carico dello stesso Responsabile.
7.8.3 Finché i dati non sono restituiti o cancellati, il Responsabile del trattamento continua ad assicurare l’integrità e la protezione dei dati trattati in ragione delle attività contrattuali.
7.9. Audit
7.9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte di Lepida e risponde prontamente e adeguatamente alle richieste di informazioni del Titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
7.9.2. Il Responsabile del trattamento consente, pertanto, all’Ente l’accesso ai propri locali e ai locali di
qualsiasi SubResponsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto
ragionevolmente richiesto per verificare che il Responsabile del trattamento, e/o i suoi Sub-Responsabili, rispettino gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo Accordo.
7.9..3 L’Ente può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli oneri di cui alla Normativa applicabile e al presente Accordo.
7.9.4 L’esperimento di tali audit non deve avere a oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
7.9.5. Il rifiuto del Responsabile del trattamento di consentire l’audit all’Ente comporta la risoluzione del contratto.
7.10. Indagini dell’Autorità e reclami
7.10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi sub-responsabile informa senza alcun indugio Lepida di qualsiasi
● richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;
● istanza ricevuta da soggetti interessati
7.10.2 Il Responsabile del trattamento fornisce, in esecuzione della Convenzione e, tutta la dovuta assistenza a Lepida per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.
7.11. Violazione dei dati personali e obblighi di notifica
7.11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento, deve
comunicare a mezzo di posta elettronica certificata a Lepida nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia
comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-responsabile. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
a) descrivere la natura della violazione dei dati personali;
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
7.11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario a Lepida ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con Lepida, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto di Xxxxxx.
7.11.3. Per la compiuta disciplina della gestione di un data breach, si rinvia alla Procedura per la gestione degli incidenti di sicurezza di Lepida ScpA.
7.12. Inosservanza delle clausole e risoluzione
7.12.1 Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il Responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il Titolare del trattamento può dare istruzione al Responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il Responsabile del trattamento informa prontamente il Titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
7.13 Responsabilità e manleve
7.13.1 Il Responsabile del trattamento tiene indenne e manleva Lepida da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute in presente Convenzione.
7.13.2 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui al presente accordo, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
7.13.3 A fronte della ricezione Responsabile del trattamento:
di un reclamo relativo alle attività oggetto di presente Convenzione, il
7.13.3.1 avverte, prontamente ed in forma scritta, Lepida del reclamo
7.13.3.2 non fornisce dettagli al reclamante senza la preventiva interazione con Lepida
7.13.3.3 non transige la controversia senza il previo consenso scritto di Xxxxxx;
7.13.3.4 fornisce a Lepida tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
7.14. Durata
7.14.1. La durata del presente Accordo è pari a quella della Convenzione in essere tra le Parti. La nomina si intende, comunque, estesa ad eventuali future proroghe e/o rinnovi di contratti, aventi ad oggetto le medesime o ulteriori attività che comportino un trattamento di dati personali analoghi da parte di codesta ditta in nome e per conto del Titolare Lepida ScpA. Resta fermo che, anche successivamente
alla cessazione o alla revoca della Convenzione, il Responsabile dovrà mantenere la massima
riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP art. 29.
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile
ART. 8 - CORRISPETTIVI E ONERI
8.1 La presente convenzione non
comporta oneri in capo alle parti, fatti salvi
eventuali costi di mero
funzionamento del sistema a carico di Lepida, rispettivamente dell’Ente Capofila e degli Enti Aderenti che sono ripartite fra le parti come segue: ciascuna parte sostiene le spese di propria competenza.
ART. 9 - CLAUSOLA RISOLUTIVA ESPRESSA
9.1. Ai sensi e per gli effetti di cui all’art. 1456 c.c., le parti convengono espressamente che la presente Convenzione si risolverà di diritto in caso di inadempimento, anche parziale, da parte dell’Ente, delle seguenti clausole: artt. 3.1.; 3.2., 3.3., 3.4.; 3.5.; 5.1.; 5.2.; 7.
9.2. La risoluzione della presente
Convenzione opererà di diritto a seguito della
trasmissione di apposita
comunicazione PEC o tramite Raccomandata A/R, nella quale Xxxxxx manifesterà esplicitamente l’intenzione di avvalersi della presente clausola risolutiva.
ART. 10 - FORO COMPETENTE
10.1 La Convenzione e le obbligazioni da esso derivanti sono interamente soggette dalla legge italiana.
10.2 Per tutte le controversie circa esistenza, validità, interpretazione, esecuzione e adempimento del presente Convenzione le Parti si obbligano ad esperire preventivamente un tentativo di conciliazione, utilizzando le modalità previste dalla C.C.I.A.A. di Bologna.
10.3 Nell'ipotesi di fallimento della procedura conciliativa, la competenza relativamente alle controversie insorte tra le parti appartiene in via esclusiva al Tribunale di Bologna, nel rispetto delle norme inderogabili in materia di giurisdizione e competenza, con espressa esclusione della possibilità di accedere ad arbitrato.
N
Letto, approvato e sottoscritto digitalmente
Per Regione Toscana | Per SOCIETÀ LEPIDA SCPA |
Il Direttore della direzione SISTEMI | Il Direttore Generale |
INFORMATIVI, INFRASTRUTTURE | Prof. Ing. ............... |
TECNOLOGICHE E INNOVAZIO E | x.xx digitalmente |
Ing. ..................... | |
x.xx digitalmente |
Ai sensi e agli effetti degli artt. 1341 e 1342 c.c., l’ Ente Capofila approva specificamente mediante separata sottoscrizione, la seguente clausola, dopo averla attentamente letta, esaminata ed inteso il suo contenuto: art. 4 DURATA E RECESSO; art. 9 CLAUSOLA RISOLUTIVA ESPRESSA; art. 10 FORO COMPETENTE.
Per Regione Toscana
Il Direttore della direzione SISTEMI INFORMATIVI, INFRASTRUTTURE TECNOLOGICHE E INNOVAZIONE
Ing. ......................
C.F. ........................
x.xx digitalmente
Allegati:
● Allegato 1: Schema di adesione
● Allegato 2: LepidaID - Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Allegato 1
Adesione alla Convenzione tra Regione Toscana e la Società Lepida S.c.p.A. per l’attivazione di sportelli LepidaID nel territorio provinciale al fine di promuovere il rilascio della identità digitale unica SPID per il cittadino
Il/la Rappresentante Legale / Delegato/a alla firma in nome e per conto
di (di seguito denominato Ente Aderente)
Visto/a
● la Convenzione tra Regione Toscana (Ente Capofila) e la Società Lepida per l’attivazione di sportelli LepidaID al fine di promuovere la creazione della identità digitale unica SPID per il cittadino del
;
● la propria delibera di adesione del con contestuale l’autorizzazione a contrarre
DICHIARA DI ADERIRE
alla Convenzione di collaborazione siglata tra Regione Toscana e la Società Lepida firmata in data di cui sopra (di seguito denominata Convenzione Regione Toscana e Società Lepida)
Il sottoscritto dichiara altresì di essere pienamente a conoscenza della Convenzione Regione Toscana e Società Lepida indicata in epigrafe nonché dei rispettivi allegati tra cui in particolare art. 7, “Trattamento di dati personali tra Titolare e Responsabile del trattamento ai sensi dell’art. 28 del Regolamento U.E. 2016/679”, a cui aderisce pienamente in nome e per conto dell’Ente Aderente.
In particolare, in osservanza a quanto indicato all’art. 3 “Compiti e ruoli” si impegna
1. a mettere a disposizione di Lepida, gratuitamente, degli sportelli sul territorio per il servizio LepidaID con personale adeguatamente formato nell'ambito del personale in servizio presso i singoli Enti e si impegna a comunicare a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse;
2. mantenere aggiornato, l’elenco dei nominativi degli operatori e comunicare tempestivamente a Lepida l’eventuale revoca (e conseguente disabilitazione) del ruolo di operatore per le proprie risorse;
3. a individuare come soggetti incaricati alle operazioni di sportello, ovvero alla verifica dell’identità dei richiedenti, esclusivamente proprio personale che abbia seguito la formazione prevista da Xxxxxx e che abbia ricevuto ogni informazione in merito alle procedure applicative e alle responsabilità nelle quali potrebbero incorrere nello svolgimento di tale attività;
4. ad autorizzare per iscritto il proprio personale alle attività di trattamento dei dati correlate alla verifica dell’identità dei richiedenti ai sensi degli articoli 29 e 32 del GDPR;
5. a garantire il rispetto delle procedure e delle indicazioni di Lepida nel funzionamento degli sportelli;
6. a nominare un proprio referente per tutte le attività inerenti LepidaID e sarà il soggetto titolato a richiedere, attraverso le modalità operative previste da Lepida, l’attivazione degli sportelli di competenza dell’Ente aderente e verificarne la corretta implementazione. Tutte le attività degli operatori avvengono attraverso il sistema di Lepida, effettuando l’accesso con credenziali LepidaID e utilizzando le funzionalità previste per gli operatori degli sportelli sul territorio;
7. a comunicare a Lepida, a mantenere aggiornate, tutte le informazioni necessarie per l’attivazione degli
sportelli di propria competenza per LepidaID secondo le procedure e le previste da Xxxxxx;
modalità di trasmissione
8. a garantire la presa visione e consapevolezza, opportunamente documentata ovvero sottoscritta, da
parte di tutti gli operatori individuati, della “Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari” prevista dalle procedure.
Inoltre, l’Ente Aderente si impegna a comunicare tempestivamente alla Regione Toscana, in qualità di Ente Capofila, qualsiasi modifica dovesse interessare i dati e le informazioni oggetto della presente dichiarazione di adesione.
Il legale rappresentante (o soggetto autorizzato alla firma) dell’Ente Aderente
<nome cognome>
<x.xx digitalmente>
Allegato 2
LepidaID - Dichiarazione di impegno di soggetti deputati alla verifica delle identità digitali dei titolari
Spett. le Lepida S.c.p.A.
Xxx Xxxxxxxxxxx 00
40128 Bologna
Oggetto: Dichiarazione di impegno dei soggetti deputati alla verifica dell’identità dei titolari
Con riferimento al regolamento SPID (versione 2.0 del 22 luglio 2016) recante le modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale (articolo 1, comma 1, lettera I), DPCM 24 ottobre 2014 (nel seguito DPCM), con la presente
il sottoscritto , Codice Fiscale , operante presso la sede
Dichiara
● di essere dipendente dell’Ente/società presso cui risulta operatore o di prestare la propria attività presso l’Ente come volontario del servizio civile.
● l’impegno ad operare nel pieno rispetto delle procedure descritte nel Manuale Operativo di LepidaID e secondo il Regolamento Recante le Modalità attuative per la realizzazione dello SPID (art.4, comma 2, DPCM 24 ottobre 2014).
● la presa d’atto delle responsabilità civili e penali eventualmente derivanti dalla mancata applicazione delle procedure previste.
Data,
Luogo,
Firma