Docs Italia beta

Documenti pubblici, digitali.

Manuale Operativo per gli erogatori di servizi pubblici e privati
Progetto: Carta d’identità elettronica
Amministrazione: italia
Informazioni
Sorgente
Azioni

3. Condizioni

Alle pubbliche amministrazioni non sono applicate condizioni particolari, possono aderire liberamente alla federazione seguendo le modalità descritte nel seguito.

Ai soggetti privati si applica il requisito previsto dall’art. 5, comma 2 del Decreto il quale prevede che “Non possono aderire alla federazione i soggetti privati il cui rappresentante legale o i soggetti preposti all’amministrazione o i componenti dell’organo preposto al controllo della società risultino condannati con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici.”.

I soggetti privati potranno fornire delle dichiarazioni sostitutive di certificazione ai sensi dell’art. 46 del DPR 445/2000 in cui dichiarano di possedere i requisiti di onorabilità. Il Ministero eseguirà delle verifiche come disposto dall’art. 71 del medesimo decreto. Nel caso in cui i soggetti privati siano già stati ammessi dalla Agenzia per l’Italia digitale alla federazione SPID e il requisito di cui all’art. 5,comma 2, del Decreto sia rispettato al momento della presentazione dell’istanza, non sarà necessario fornire le suddette dichiarazioni sostitutive.

Considerata la particolarità del ruolo del soggetto aggregatore che deve garantire non solo il buon funzionamento dei servizi dei soggetti aggregati, ma anche la verifica del possesso da parte dei soggetti aggregati privati dei suddetti requisiti di onorabilità; in analogia a quanto previsto dall’AgID nell’ambito dello SPID con la Determinazione n. 75/2023, possono presentare istanza in qualità di aggregatori i soggetti di cui all’art. 2 comma 2 del D.lgs. 82/2005 e le società di capitali che si propongono come fornitori di un servizio finalizzato ad agevolare l’ingresso nel sistema CIE di quei fornitori di servizi, soggetti aggregati pubblici o privati, che non ritengano di attivare la struttura necessaria a consentire l’autenticazione informatica degli utenti attraverso l’uso dell’identità digital CIEId per l’accesso ai propri servizi in rete.

Il Ministero effettuerà almeno ogni quattro anni le suddette verifiche del possesso dei requisiti di onorabilità; i soggetti aggregatori, sono tenuti a ripetere le suddette verifiche nei confronti dei soggetti aggregati privati almeno con la stessa periodicità ed anche su richiesta del Ministero.

3.1. Obblighi

Gli aderenti alla federazione CIE presentando l’istanza, devono accettare di assumersi alcuni obblighi volti a garantire un adeguato livello di affidabilità, trasparenza e sicurezza del circuito.

Tali obblighi sono in parte comuni a tutti gli aderenti, altri sono peculiari dei soggetti privati che aderiscono alla federazione, altri ancora sono specifici dei soggetti aggregatori.

3.1.1. Obblighi generali

Tutti gli aderenti assumono i seguenti obblighi:

a)
di impegnarsi al pieno rispetto della normativa e dei regolamenti vigenti in materia, la cui accettazione e corretta applicazione è requisito necessario per l’adesione al sistema;
b)
di impegnarsi al rispetto delle condizioni e modalità rese note dal Ministero ai sensi dell’art. 5, comma 1, del Decreto 8 settembre 2022 attraverso la pubblicazione del manuale operativo;
c)
di impegnarsi al pieno rispetto del principio di privacy by design e di minimizzazione dei dati, limitando la richiesta di dati al set minimo necessario per l’erogazione di ciascun servizio;
d)
attenersi alle disposizioni contenute nel Manuale Tecnico SAML e nel Manuale Operativo pubblicati su https://federazione.servizicie.interno.gov.it/ e nelle regole tecniche, redatte in conformità alle Linee Guida Nazionali di Open ID connect adottate da AgID pubblicate dal Dipartimento per la Trasformazione Digitale su https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/index.html;
e)
conformarsi, adeguarsi e dare esecuzione a tutti gli atti, provvedimenti, avvisi o comunicazioni inviati dal Ministero e/o dal Poligrafico e agevolare il Ministero e il personale dallo stesso designato nell’esecuzione di verifiche;
f)
rendere disponibili le informazioni tecniche necessarie per consentire la fruizione dei servizi;
g)
garantire un servizio di assistenza per gli utenti nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione;
h)
garantire il funzionamento continuo, regolare e sicuro del servizio erogato;
i)
dare comunicazione al Ministero dell’eventuale volontà di cessare l’attività oggetto del presente atto secondo le modalità previste nel modulo di adesione;
j)
valutare attentamente la possibilità di accesso ai servizi in rete da parte dei minori in base all’età degli stessi, valutando se sia necessario acquisire il consenso da parte degli esercenti il controllo genitoriale;
k)
vincolarsi alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n.196 e successive modifiche, nei regolamenti europei vigenti in materia di protezione dei dati, in particolare per quanto concerne la sicurezza degli stessi, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. In particolare, l’Aggregatore - nel rispetto del principio di privacy by design e di minimizzazione dei dati - si impegna a non acquisire attraverso il sistema Entra con CIE attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente, obbligandosi comunque a limitare la richiesta di dati al set minimo utile per l’erogazione del servizio, in linea con quanto previsto all’art. 6 del Decreto 8 settembre 2022;
l)
conservare il registro degli accessi degli utenti avvenuti negli ultimi 24 mesi, nel rispetto della normativa vigente in materia di protezione dei dati personali;
m)
adottare tutte le misure tecniche idonee a garantire la sicurezza del trattamento dei dati e a evitare il verificarsi di eventi dannosi (cd. DATA BREACH), in linea con quanto previsto dalla normativa vigente, ai sensi degli artt. 33 e 34 del Regolamento UE 2016/679;
n)
garantire che agli eventi registrati (log) sia apposto un riferimento temporale che corrisponda alla scala di tempo UTC (IEN) di cui al decreto del Ministro dell’Industria del commercio ed artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo;
o)
garantire la protezione dei dati personali degli utenti autenticati;
p)
non vendere a terzi i dati ottenuti tramite i processi di autenticazione;
q)
non vendere a terzi servizi di profilatura e/o più in generale servizi commerciali basati sulla conoscenza dei dati personali acquisiti durante i processi di autenticazione;
r)
informare il Ministero dell’Interno (all’indirizzo P.E.C. servizidemografici.prot@pec.interno.it) nel caso in cui si rilevi un uso anomalo di un’identità digitale;
s)
comunicare - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – al Ministero dell’Interno all’indirizzo P.E.C. servizidemografici.prot@pec.interno.it eventuali violazioni e intrusioni nei dati personali dei soggetti per i quali chiede la verifica dell’identità digitale.

3.1.2. Ulteriori obblighi per i soggetti aggregatori

Gli aderenti in qualità di aggregatori assumono, inoltre, i seguenti obblighi:

  1. Informare tempestivamente il Ministero (all’indirizzo P.E.C. servizidemografici.prot@pec.interno.it) nel caso in cui i requisiti di onorabilità non siano più rispettati;

  2. garantire, se soggetti privati, il rispetto dei requisiti di onorabilità;

  3. nel caso in cui il soggetto aggregato sia un privato:

    a)

    eseguire le verifiche in merito al possesso dei requisiti di onorabilità sul soggetto privato prima di aggregarlo e ripeterli almeno ogni quattro anni;

    b)

    agevolare il Ministero e il personale dallo stesso designato nell’esecuzione di verifiche anche in capo al soggetto aggregato;

    c)

    prevedere l’impegno del soggetto aggregato ad agevolare eventuali verifiche del Ministero e personale dallo stesso designato;

    d)

    fermare il servizio in uso dal soggetto aggregato nel caso in cui venga a conoscenza della decadenza dei requisiti di onorabilità dello stesso.

3.1.3. Ulteriori obblighi per i soggetti privati

I soggetti privati aderenti alla federazione assumono, inoltre, i seguenti obblighi:

  1. garantire il possesso dei requisiti di onorabilità;
  2. informare tempestivamente il Ministero (all’indirizzo P.E.C. servizidemografici.prot@pec.interno.it) nel caso in cui i requisiti di onorabilità non siano più rispettati e, nel caso in cui trattasi di soggetto aggregato, informare anche il proprio aggregatore.