Il sito web dello Studio Boschi utilizza i cookie per offrire una migliore esperienza di navigazione e per fini statistici anonimizzati. Consulta l'informativa sulla privacy oppure continua la navigazione del sito cliccando sul bottone OK qui a fianco.
Disciplina delle modalità di funzionamento del Sistema di Gestione Deleghe («SGD»)
Art. 1
Definizioni
1. Ai fini del presente decreto si intendono per:
a) «CAD»: il decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale»;
b) «classe di servizio delegabile»: il raggruppamento di servizi erogati dal medesimo Service provider aderente al sistema che può essere oggetto di una delega digitale;
c) «dato specifico»: il dato richiesto da una specifica classe di servizio in fase di creazione di una delega digitale. Tale dato è valorizzato dal delegante al momento della creazione di una delega semplice ed è funzionale all'erogazione di uno o più servizi delegabili afferenti ad una classe di servizio specificata;
d) «delega digitale»: l'attributo gestito dal SGD, attestante il possesso e la validità di poteri di rappresentanza in capo al soggetto delegato e autorizzato a fruire dei servizi oggetto della delega, per conto del soggetto rappresentato;
e) «delega generale»: la delega digitale richiesta da un soggetto nominato tutore, curatore o amministratore di sostegno ovvero dall'esercente la responsabilità genitoriale, per la cui creazione è necessaria la verifica delle predette qualità mediante l'interoperabilità con la Piattaforma digitale nazionale dati (PDND) di cui all'art. 50-ter del CAD, le altre basi dati nazionali eventualmente disponibili ovvero mediante esibizione della documentazione attestante le qualità. Tale delega ha per oggetto una o più classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema delegabili in virtù del provvedimento di nomina o della qualità del delegato e in conformità ai poteri a questo attribuiti;
f) «delega semplice»: delega digitale conferita dal delegante e per la cui creazione è necessaria l'identificazione del delegante e del delegato. Tale delega può avere per oggetto, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, una o più classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema;
g) «delegante»: la persona fisica o giuridica che conferisce una delega digitale a un terzo soggetto per usufruire di una o più classi di servizio, selezionate tra quelle configurate nel SGD, ovvero di un singolo servizio erogato dai Service provider aderenti al sistema. Il potere di delega delle persone giuridiche viene esercitato attraverso le persone fisiche che ne hanno la rappresentanza;
h) «delegato»: il soggetto, titolare di identità digitale di cui all'art. 64, comma 2-quater, del CAD con livello di sicurezza almeno significativo, designato mediante delega digitale a richiedere, in nome e per conto del delegante, l'erogazione dei servizi erogati dai Service provider aderenti al SGD e oggetto della delega;
i) «Dipartimento»: la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale;
j) «Service provider»: il soggetto pubblico o privato che, avendo aderito al SGD, offre servizi on-line e a sportello fruibili anche tramite soggetti terzi muniti di delega digitale;
k) «GDPR»: il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
l) «gestore»: il soggetto che, ai sensi dell'art. 64-ter, comma 5, del CAD, cura la realizzazione, la gestione e la manutenzione del SGD, nonché l'erogazione del relativo servizio;
m) «Identity provider (IdP)»: il soggetto che effettua l'autenticazione del delegato e, ove previsto, del delegante e del soggetto di cui all'art. 8, commi 5 e 7, tramite la sua identità digitale e ne raccoglie il consenso all'invio dei dati identificativi al Service provider;
n) «indirizzo di contatto»: l'indirizzo e-mail, il domicilio digitale ovvero un recapito telefonico mobile verificati dal gestore mediante una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3;
o) «operatore di backoffice»: il soggetto incaricato dal gestore di verificare, nei casi previsti, la documentazione trasmessa al SGD e di creare, conseguentemente, la relativa delega digitale ovvero di gestire la richiesta di annullamento della delega generale;
p) «operatore di sportello»: il soggetto incaricato da uno dei soggetti di cui all'art. 2, comma 2, del CAD di gestire a sportello, su richiesta di un delegante o di un delegato, l'intero ciclo di vita delle deleghe digitali ovvero di gestire la richiesta di annullamento della delega generale;
q) «portale»: l'interfaccia web del SGD che consente la gestione dell'intero ciclo di vita delle deleghe digitali;
r) «regole tecniche»: le regole tecniche sul funzionamento del SGD;
s) «servizi»: i servizi resi disponibili ai soggetti delegati dai Service provider aderenti al SGD attraverso la rete e presso i propri sportelli;
t) «servizio delegabile»: il servizio on-line o a sportello che può essere fruito anche mediante delega digitale;
u) «sistema o SGD»: il Sistema di gestione delle deleghe di cui all'art. 64-ter, del CAD;
v) «soggetto aggregatore»: il soggetto pubblico o privato che, nel rispetto delle previsioni normative e regolamentari in materia di identità digitale e di attributi qualificati, offre la possibilità di rendere accessibili, tramite l'identità digitale e gli attributi qualificati, i servizi dei Service provider aggregati;
w) «utenti del sistema»: i soggetti che accedono al SGD ai sensi delle precedenti lettere g), h), o), p) ovvero ai sensi dell'art. 8, commi 5 e 7;
x) «ID ANPR»: codice identificativo univoco associato ad ogni iscritto in ANPR utilizzato al fine di garantire la circolarità dei dati anagrafici e l'interoperabilità con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici di cui all'art. 2, comma 2, lettere a) e b), del CAD.
Art. 2
Oggetto e ambito di applicazione
1. Il presente decreto disciplina le modalità di funzionamento del Sistema di gestione deleghe (SGD), definendone le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza, le modalità di acquisizione della delega, le modalità di adesione, le tipologie dei dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e le procedure per assicurare il rispetto dell'art. 5 del GDPR.
Art. 3
Infrastruttura tecnologica, requisiti di sicurezza, piano di test per la verifica del corretto funzionamento e malfunzionamenti
1. Il gestore sviluppa l'infrastruttura tecnologica per l'attuazione dell'art. 64-ter del CAD, applicando i criteri di accessibilità di cui alla legge 9 gennaio 2004, n. 4, nel rispetto dei principi di usabilità, completezza di informazione, chiarezza del linguaggio, affidabilità, semplicità di consultazione, qualità, omogeneità e interoperabilità.
2. Prima della messa in funzione, il gestore verifica il corretto funzionamento del SGD tramite lo svolgimento di test. Il piano dei test, relativi anche alla sicurezza e alla performance del SGD, è destinato alla totalità dei casi d'uso, e delle funzionalità assegnate al sistema dall'art. 64-ter del CAD e dal presente decreto attuativo.
3. Le caratteristiche tecniche, le regole tecniche e i requisiti di sicurezza del SGD, che utilizza il protocollo OpenID Connect, sono descritti nel manuale operativo pubblicato sul sito web del gestore e sul portale e redatto dallo stesso gestore d'intesa con il Dipartimento, sentiti il Garante per la protezione dei dati personali e la Conferenza unificata. Nello stesso manuale sono individuati i casi in cui può essere autorizzato, in via transitoria e per un periodo limitato di tempo, l'utilizzo del protocollo SAML 2.0 nonché le metriche di successo e fallimento delle operazioni eseguite, unitamente a metriche prestazionali e di qualità, nonché di assistenza agli utenti. Tali metriche sono utilizzate per monitorare l'operatività del SGD.
4. I requisiti di sicurezza implementati per l'erogazione dei servizi tramite il SGD garantiscono, in ogni caso:
a. l'integrità e la riservatezza dei dati;
b. la sicurezza del sistema e dell'accesso a esso;
c. il tracciamento delle operazioni effettuate.
5. Costituiscono casi di malfunzionamento del SGD tutti gli impedimenti tecnici, rilevati anche automaticamente dal sistema con le modalità di cui al comma 3, secondo periodo, che non consentono la creazione, la gestione e l'utilizzo della delega digitale.
6. Il malfunzionamento del SGD viene segnalato sul sito web del gestore e sul portale. Con le stesse modalità il gestore comunica il ripristino delle funzionalità del sistema.
7. Il gestore realizza il SGD, lo gestisce, vigila sul suo corretto funzionamento, ne cura il monitoraggio e la manutenzione, provvede al suo aggiornamento tecnologico e, tramite lo stesso sistema, eroga il servizio di cui all'art. 64-ter del CAD.
8. Fermo restando quanto previsto al comma 3, su richiesta del Service provider, per specifiche e motivate esigenze tecniche, il gestore, d'intesa con il Dipartimento, nei casi individuati dal manuale operativo di cui al comma 3, può autorizzare, in via transitoria e per un periodo limitato di tempo, l'utilizzo del protocollo SAML 2.0. ricorrendone i presupposti. L'autorizzazione di cui al precedente periodo reca l'indicazione del limite di tempo massimo consentito per l'utilizzo in via transitoria del protocollo SAML 2.0 e detta le prescrizioni necessarie per l'attuazione dell'obbligo di utilizzo del protocollo OpenID Connect previsto al comma 3.
Art. 4
Architettura generale del SGD
1. Il SGD, in particolare, consente di:
a) delegare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, l'accesso a servizi erogati dai Service provider aderenti al sistema, a soggetti in possesso di un'identità digitale di cui all'art. 64, comma 2-quater, del CAD, con livello di sicurezza almeno significativo o, comunque, di un'identità digitale basata su credenziali di livello almeno significativo nell'ambito di un regime di identificazione elettronica oggetto di notifica, conclusa con esito positivo, ai sensi dell'art. 9 del regolamento (UE) n. 910/2014;
b) esercitare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza e relativamente ai servizi erogati dai Service provider aderenti al sistema, i poteri relativi alla funzione di delegato, nonché di tutore, curatore, amministratore di sostegno e di esercente la responsabilità genitoriale;
c) creare, visualizzare, rinnovare, sospendere, riattivare, revocare le deleghe e verificarne l'utilizzo da parte del soggetto delegato;
d) accettare o rifiutare una delega digitale;
e) annullare una delega digitale nei casi previsti dall'art. 8, commi 5 e 7;
f) utilizzare la delega digitale, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, per fruire dei servizi erogati dai Service provider aderenti al sistema anche presso le loro sedi;
g) tracciare in modo certo e sicuro, nel rispetto delle disposizioni in materia di trattamento dei dati personali, il processo di gestione delle deleghe e il loro utilizzo.
Art. 5
Adesione dei Service provider al SGD
1. I Service provider accedono al SGD tramite il soggetto incaricato di curare le attività istruttorie preliminari all'adesione al sistema in possesso dell'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. Il soggetto incaricato, individuato dal Service provider tra i propri dipendenti, compila il modulo di adesione, recante anche le condizioni del servizio, reso disponibile sul portale.
3. Il gestore invia al domicilio digitale del Service provider, risultante dall'indice nazionale dei domicili digitali delle imprese e dei professionisti di cui all'art. 6-bis del CAD, dall'indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi di cui all'art. 6-ter del CAD ovvero dall'indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all'iscrizione in albi, elenchi o registri professionali o nel registro delle imprese di cui all'art. 6-quater del CAD, il collegamento al modulo di adesione compilato ai sensi del comma 2. Il Service provider sottoscrive con la firma digitale o con altra firma elettronica qualificata del legale rappresentante o del dirigente competente, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, il modulo di adesione automaticamente acquisito dal gestore all'esito della sottoscrizione.
4. Il gestore, a seguito del perfezionamento del procedimento di adesione da parte del Service provider, esegue un controllo tecnico funzionale in linea con quanto descritto nel manuale operativo di cui all'art. 3, comma 3 e, all'esito, abilita il Service provider a fruire del SGD.
5. I soggetti di cui all'art. 2, comma 2, del CAD, ai sensi di quanto previsto dell'art. 64-ter del CAD, sono tenuti ad accreditarsi al SGD. Il loro accreditamento può avvenire anche mediante un soggetto aggregatore.
Art. 6
Modalità di conferimento della delega nell'ambito del SGD
1. Il SGD consente di delegare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, a un soggetto titolare dell'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, l'accesso ad uno o più servizi.
2. Il conferimento della delega semplice può essere effettuato, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza e di quanto previsto dall'art. 64-ter, comma 2, secondo periodo, del CAD, con una delle seguenti modalità:
a. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
b. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, limitatamente ai servizi resi disponibili dallo stesso soggetto che acquisisce la delega;
c. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente al delegante di sottoscrivere la delega mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD;
d. utilizzando una specifica funzionalità del SGD resa disponibile tramite il punto di accesso telematico di cui all'art. 64-bis del CAD;
e. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che, previo accesso del delegato tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, e inserimento del numero identificativo della tessera sanitaria del delegante, consente la trasmissione della copia informatica per immagine della delega analogica sottoscritta dal delegante nonché della copia informatica per immagine del documento d'identità dello stesso delegante. In tal caso, la delega è acquisita dal sistema solo all'esito della verifica della validità del numero identificativo della tessera sanitaria del delegante mediante una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3.
3. La delega semplice, conferita attraverso una delle modalità di cui al comma 2, lettere a), c), d) ed e), contiene nome, cognome, codice fiscale e indirizzo di contatto del soggetto delegato nonché nome, cognome, indirizzo di contatto e, ove disponibile, anche il codice fiscale del soggetto delegante ovvero la sua data di nascita nonché, nel caso di conferimento della delega con la modalità di cui al comma 2, lettera e), il numero identificativo della tessera sanitaria e può avere a oggetto, nel rispetto delle vigenti disposizioni in materia di rappresentanza e trattamento dei dati personali:
a. uno specifico servizio erogato dal Service provider;
b. tutti i servizi erogati dal Service provider;
c. una o più classi di servizio erogato dal medesimo Service provider;
d. specifici servizi erogati da differenti Service provider;
e. tutti i servizi erogati da tutti i Service provider, nel caso di procura generale rilasciata nel rispetto delle vigenti disposizioni in materia di rappresentanza;
f. differenti classi di servizio erogato da differenti Service provider.
4. Nel caso di conferimento della delega semplice con la modalità di cui al comma 2, lettera b), la stessa contiene nome, cognome, codice fiscale e indirizzo di contatto del soggetto delegato nonché nome, cognome, indirizzo di contatto e, ove disponibile, anche il codice fiscale del soggetto delegante ovvero la sua data di nascita e può avere a oggetto esclusivamente:
c. uno o più classi di servizio erogato dal medesimo Service provider.
5. Il delegante, nel caso di conferimento della delega semplice con la modalità di cui al comma 2, lettera b), esibisce il proprio documento d'identità e ne consegna copia all'operatore di sportello unitamente al documento di delega sottoscritto con firma autografa.
6. Nell'ipotesi di cui al comma 2, lettera b), nel caso di persone allettate per lunga durata, ricoverate o impossibilitate per motivi sanitari a recarsi presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, la delega semplice può essere conferita anche mediante acquisizione da parte dell'operatore di sportello della delega sottoscritta dal delegante e presentata direttamente dal delegato unitamente alla copia del documento d'identità dello stesso delegante e all'attestazione sanitaria redatta da un medico del servizio sanitario nazionale attestante l'impossibilità del delegante di recarsi presso lo sportello. Il delegato, inoltre, esibisce il proprio documento d'identità e ne consegna copia all'operatore di sportello.
7. La delega semplice di cui ai precedenti commi 3, lettera c), e 4, lettera c), può contenere dei dati specifici funzionali all'erogazione di uno o più servizi.
8. Il SGD, acquisita la delega semplice, elabora un codice di accettazione che, fatta salva l'ipotesi di cui al comma 2, lettera e), è comunicato al delegato.
9. Il soggetto delegato, accedendo al SGD tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, presa visione della proposta di delega, può procedere alla sua accettazione, inserendo il codice fornitogli dal delegante.
10. Il SGD informa il delegante in merito all'accettazione o all'eventuale rifiuto della delega da parte del soggetto delegato tramite avviso di cortesia all'indirizzo di contatto.
11. Il SGD consente al delegante di revocare in ogni tempo, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, la delega conferita, informando automaticamente il delegato tramite avviso di cortesia all'indirizzo di contatto. Il SGD consente, altresì, al delegato di rinunciare in ogni tempo alla delega informando automaticamente il delegante tramite avviso di cortesia all'indirizzo di contatto.
12. Il SGD invia al delegante, all'indirizzo di contatto, un avviso di cortesia ogni volta che viene esercitata la delega, nonché, con periodicità mensile, un promemoria delle deleghe attive e consente, altresì, allo stesso di monitorare in ogni tempo gli accessi operati per suo conto presso i diversi Service provider aderenti.
13. Uno stesso soggetto può ricevere, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, deleghe semplici da parte di tutti i componenti della propria famiglia anagrafica e, annualmente, non più di cinque deleghe, a titolo gratuito, da parte di soggetti non appartenenti alla medesima famiglia anagrafica. La delega ricevuta da un soggetto non appartenente alla famiglia anagrafica e poi revocata ai sensi dell'art. 8, comma 2, è conteggiata ai fini del raggiungimento del numero massimo di deleghe annuali fissato dal periodo precedente.
14. I limiti di cui al comma 13 non trovano applicazione per i professionisti iscritti a ordini, albi o collegi e per le persone giuridiche dotate di specifiche autorizzazioni previste dalla legge quando tali soggetti, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, ricevono la delega relativamente a servizi rientranti nell'ambito dell'attività svolta professionalmente o istituzionalmente. In caso di delega ad uno dei soggetti del periodo precedente, la stessa deve contenere anche l'indicazione della qualifica professionale del delegato iscritto ad un ordine, albo o collegio ovvero dell'autorizzazione di cui è dotata la persona giuridica delegata. La delega, conferita con una delle modalità di cui al comma 2, lettere a), c), d) ed e), è acquisita dal sistema solo all'esito della presentazione da parte del delegato, mediante una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3, di una dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettere i), l), n) e u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui è possibile evincere la qualifica professionale del delegato iscritto ad un ordine, albo o collegio ovvero l'autorizzazione di cui è dotata la persona giuridica delegata che legittimano la richiesta di accesso al servizio o alle classi di servizio. Alla delega, conferita con la modalità di cui al comma 2, lettera b), deve essere allegata la dichiarazione sostitutiva di certificazione di cui al precedente periodo.
15. Nel caso di delega semplice rilasciata, ai sensi del presente decreto e comunque nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, a persona giuridica, ente o associazione, dotati di specifiche autorizzazioni previste dalla legge per lo svolgimento di attività relative ai servizi delegati, il legale rappresentante può designare per l'esecuzione della delega uno o più dipendenti mediante una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3. In tal caso, il sistema consente di circoscrivere la delega in relazione a uno o più deleganti, non è richiesta accettazione da parte del dipendente delegato e non è prevista la possibilità di rinuncia.
16. Nel caso di delega generale, il tutore, il curatore o l'amministratore di sostegno possono chiedere l'attivazione della delega, indicando contestualmente una o più classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema tra quelli delegabili in virtù del provvedimento di nomina, con una delle seguenti modalità:
a. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, limitatamente ai servizi resi disponibili dallo stesso soggetto che provvede all'attivazione della delega generale;
b. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, accedendo tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
c. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente al tutore, al curatore o all'amministratore di sostegno di sottoscrivere la richiesta di attivazione mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD.
17. Il tutore, il curatore o l'amministratore di sostegno procede alla richiesta di attivazione della delega con le seguenti modalità:
a. nei casi di cui al comma 16, lettera a), esibisce il proprio documento d'identità e ne consegna copia all'operatore di sportello unitamente alla copia del documento d'identità del tutelato e alla copia conforme del provvedimento di nomina ovvero alla dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui è possibile evincere la qualità e i poteri esercitabili in virtù del provvedimento di nomina;
b. nei casi di cui al comma 16, lettere b) e c), trasmette la copia conforme per immagine del provvedimento di nomina ovvero dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui è possibile evincere la qualità e i poteri esercitabili in virtù del provvedimento di nomina, unitamente alla copia del documento d'identità del tutelato. Nell'ipotesi prevista al comma 16, lettera c), la dichiarazione sostitutiva è sottoscritta mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD. La trasmissione della dichiarazione sostitutiva non è necessaria se, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilità con la Piattaforma digitale nazionale dati (PDND), o con basi dati nazionali eventualmente disponibili, è possibile verificare automaticamente la qualità e i poteri esercitabili.
18. Gli esercenti la responsabilità genitoriale, in conformità a poteri loro attribuiti, possono chiedere l'attivazione della delega generale per i minori rappresentati con una delle seguenti modalità:
a. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD limitatamente ai servizi resi disponibili dallo stesso soggetto che provvede all'attivazione della delega generale;
c. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente all'esercente la responsabilità genitoriale di sottoscrivere la richiesta di attivazione mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD.
19. L'esercente la responsabilità genitoriale, procede alla richiesta di attivazione della delega con le seguenti modalità:
a. nel caso di cui al comma 18, lettera a), esibisce il proprio documento d'identità e ne consegna copia all'operatore di sportello unitamente alla copia del documento d'identità del minore rappresentato, alla dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui è possibile evincere la responsabilità genitoriale;
b. nel caso di cui al comma 18, lettere b) e c), trasmette la dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui è possibile evincere la responsabilità genitoriale unitamente la copia informatica per immagine del documento d'identità del minore rappresentato. La dichiarazione sostitutiva è sottoscritta mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD. Nell'ipotesi prevista al comma 18, lettera c), la trasmissione della dichiarazione sostitutiva non è necessaria se, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilità con la Piattaforma digitale nazionale dati (PDND), o con basi dati nazionali eventualmente disponibili, è possibile verificare automaticamente la qualità e i poteri esercitabili.
20. Il SGD, a partire dalla data in cui è assicurata l'interoperabilità con la PDND ovvero con l'Anagrafe nazionale della popolazione residente (ANPR), verifica automaticamente, in fase di acquisizione della delega e tramite una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3, la correttezza dei dati del delegante e del delegato a cui la stessa delega si riferisce. A partire dalla stessa data, il SGD verifica automaticamente, altresì, tramite una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3, il venir meno dei poteri di rappresentanza ove tale circostanza sia rilevabile mediante interoperabilità con la PDND ovvero con basi dati nazionali eventualmente disponibili.
Art. 7
Modalità di funzionamento del SGD
1. Il sistema consente ai Service provider di gestire le sessioni degli utenti che intendono operare in qualità di delegati. A tal fine è necessaria la previa autenticazione dell'utente delegato, presso il Service provider, tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. Nel gestire l'utente delegato, il Service provider fornisce al SGD prova dell'avvenuta autenticazione, con le modalità indicate nelle regole tecniche sul funzionamento descritte nel manuale operativo di cui all'art. 3, comma 3, tenuto conto anche delle linee guida contenenti regole tecniche dei gestori di attributi qualificati.
3. Il SGD, verificata la correttezza e l'adeguatezza dell'avvenuta autenticazione, consente all'utente delegato di selezionare la delega con la quale intende agire fornendo al Service provider, con le modalità indicate nelle regole tecniche sul funzionamento e descritte nel manuale operativo di cui all'art. 3, comma 3, tenuto conto anche delle linee guida contenenti regole tecniche dei gestori di attributi qualificati, le informazioni afferenti al delegante o, comunque, al rappresentato, comprensive del codice fiscale e di eventuali, necessari, dati specifici.
4. Il SGD consente all'utente delegato di ottenere un'attestazione della delega ricevuta. Tale attestazione, munita del contrassegno a stampa di cui all'art. 23, comma 2-bis, del CAD, può essere utilizzata, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, anche per la fruizione dei servizi presso gli sportelli dei Service provider, previa esibizione da parte del delegato del proprio documento d'identità di cui consegna copia all'operatore di sportello.
Art. 8
Durata della delega ed eventi modificativi
1. Il delegante, al momento del conferimento, definisce il periodo di validità della delega digitale che, in ogni caso, non può essere superiore a due anni.
2. Il delegante può revocare in qualsiasi momento la delega conferita utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, ovvero tramite gli sportelli dei Service provider per i servizi da questi resi disponibili.
3. Fatto salvo quanto previsto all'art. 6, comma 15, il delegato può rinunciare in qualsiasi momento alle deleghe semplici precedentemente accettate utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3.
4. La delega generale di tutori, curatori o amministratori di sostegno ha una durata corrispondente a quella fissata nel provvedimento di nomina.
5. In caso di revoca della tutela, della curatela o dell'amministrazione di sostegno, di rimozione o sostituzione del tutore, del curatore o dell'amministratore di sostegno, la delega generale è annullata a richiesta di chiunque ne abbia interesse.
Tale richiesta è presentata:
a. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso dell'istante tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo e trasmissione di copia conforme informatica per immagine della documentazione attestante la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno. La trasmissione della copia conforme non è necessaria se, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilità con la Piattaforma digitale nazionale dati (PDND) o con basi dati nazionali eventualmente disponibili, è possibile verificare automaticamente la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno;
b. tramite gli sportelli dei Service provider, previa esibizione da parte dell'istante del proprio documento d'identità e consegna di copia dello stesso documento all'operatore di sportello unitamente alla copia conforme della documentazione attestante la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno.
6. La delega generale dell'esercente la responsabilità genitoriale è valida fino al raggiungimento della maggiore età del minore rappresentato o della sua emancipazione ovvero fino all'eventuale decadenza o sospensione della responsabilità genitoriale.
7. In caso di emancipazione, decadenza o di sospensione della responsabilità genitoriale, la delega generale è annullata a richiesta di chiunque ne abbia interesse. Tale richiesta è presentata:
a. utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso dell'istante tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo e trasmissione di copia conforme, informatica per immagine, della documentazione attestante, a seconda dei casi, l'emancipazione, la decadenza o la sospensione della responsabilità genitoriale. La trasmissione della copia conforme non è necessaria se, utilizzando una specifica funzionalità resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilità con la Piattaforma digitale nazionale dati (PDND) o con basi dati nazionali eventualmente disponibili, è possibile verificare automaticamente l'emancipazione, la decadenza o la sospensione della responsabilità genitoriale;
b. tramite gli sportelli dei Service provider, previa esibizione da parte dell'istante del proprio documento d'identità e consegna di copia dello stesso documento all'operatore di sportello unitamente alla copia conforme della documentazione attestante, a seconda dei casi, l'emancipazione, la decadenza o la sospensione della responsabilità genitoriale.
8. Al raggiungimento della maggiore età del minore rappresentato, la delega generale è annullata automaticamente dal SGD tramite una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3.
9. A partire dalla data in cui è assicurata l'interoperabilità con la PDND, con l'Anagrafe nazionale della popolazione residente (ANPR) o con le altre basi dati nazionali eventualmente disponibili, le deleghe semplici e generali sono annullate dal SGD, tramite una specifica funzionalità descritta nel manuale operativo di cui all'art. 3, comma 3, qualora dalla verifica automatica del SGD risulti il decesso del delegante o del delegato ovvero altra causa oggettiva di cessazione della delega.
Art. 9
Periodo di conservazione delle deleghe digitali e della relativa documentazione
1. Il gestore conserva le deleghe digitali semplici e generali, per un periodo di dieci anni dalla data in cui viene meno la loro validità, tramite memorizzazione nel rispetto delle disposizioni del regolamento UE 679/2016 e del CAD.
2. Il medesimo termine si applica per la conservazione della documentazione, comprensiva delle informative relative al trattamento dei dati, presentata dal delegante o dal delegato e acquisita dall'operatore di backoffice o di sportello.
3. Durante il predetto periodo di conservazione, il gestore garantisce l'accesso ai dati e ai documenti conservati al delegante e al delegato interessati previa identificazione allo sportello o tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo. L'accesso da parte del delegato è limitato esclusivamente ai dati e ai documenti riferiti alle deleghe dallo stesso ricevute.
Art. 10
Tipologie di dati oggetto di trattamento, categorie di interessati e procedure per assicurare il rispetto dell'art. 5 del regolamento UE 2016/679
1. Nell'ambito di operatività del SGD, i dati personali oggetto del trattamento sono:
a. il nome, il cognome, il codice fiscale e la data di nascita dei delegati e, ove disponibile, l'ID ANPR degli stessi;
b. il nome, il cognome, la data di nascita dei deleganti e, ove disponibile, il codice fiscale, il numero identificativo della tessera sanitaria e l'ID ANPR degli stessi;
c. l'indirizzo di posta elettronica dei delegati e dei deleganti;
d. il domicilio digitale dei delegati e dei deleganti se eletto;
e. il recapito telefonico mobile dei delegati e dei deleganti se comunicato;
f. l'evidenza informatica attestante l'avvenuta autenticazione del soggetto delegato mediante l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
g. l'evidenza informatica attestante l'avvenuta autenticazione del soggetto delegante mediante l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
h. la condizione di soggetto sottoposto a tutela, curatela o amministrazione di sostegno;
i. la qualità di tutore, curatore o amministratore di sostegno;
j. la condizione di minore rappresentato dall'esercente la responsabilità genitoriale;
k. la qualità di esercente la responsabilità genitoriale;
l. il nome, il cognome, il codice fiscale e la data di nascita dei soggetti di cui all'art. 8, commi 5 e 7 e, ove disponibile, l'ID ANPR degli stessi;
m. l'indirizzo di posta elettronica dei soggetti di cui all'art. 8, commi 5 e 7;
n. il domicilio digitale dei soggetti di cui all'art. 8, commi 5 e 7 se eletto;
o. il recapito telefonico mobile dei soggetti di cui all'art. 8, commi 5 e 7 se comunicato;
p. quelli presenti nell'asserzione di avvenuta autenticazione dei soggetti di cui all'art. 8, commi 5 e 7, mediante l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. I dati di cui al precedente comma 1, lettere c), d) ed e), possono essere utilizzati per inviare comunicazioni relative alla creazione, allo stato, alle modifiche e all'utilizzo delle deleghe.
3. I dati di cui al precedente comma 1, lettere m), n) e o), possono essere utilizzati per inviare comunicazioni e aggiornamenti a seguito delle richieste presentate.
4. I dati personali di cui al presente articolo sono trattati dagli operatori di backoffice e dagli operatori di sportello per lo svolgimento delle attività di rispettiva competenza nonché dal gestore per garantire il corretto funzionamento del sistema.
5. I dati personali e tutti i dati afferenti all'utilizzo e alla gestione del sistema sono conservati dal gestore sul territorio nazionale con modalità atte a garantirne la protezione mediante misure tecniche e organizzative idonee ad evitare trattamenti non autorizzati o illeciti, la perdita e la distruzione.
Art. 11
Disposizioni in materia di trattamento dei dati personali
1. I dati personali di cui all'art. 10 sono trattati esclusivamente per le finalità inerenti alla creazione, alla gestione e all'utilizzo delle deleghe.
2. Il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri è titolare dei dati utilizzati per l'accesso al SGD da parte dei delegati e dei deleganti, dei dati necessari per l'adesione al SGD da parte dei Service provider, e ogni altro dato inerente alla gestione di ogni attività strumentale all'utilizzo dello stesso SGD, ivi inclusi i dati relativi alla salute dei soggetti rappresentati da tutori, curatori e amministratori di sostegno.
3. Il gestore, ai sensi dell'art. 28 del regolamento UE 2016/679, agisce per conto del titolare in qualità di responsabile del trattamento dei dati utilizzati per l'accesso al SGD da parte dei delegati e dei deleganti, dei dati necessari per l'adesione al SGD da parte dei Service provider, e ogni altro dato inerente alla gestione di ogni attività strumentale all'utilizzo dello stesso SGD, ivi inclusi i dati relativi alla salute dei soggetti rappresentati da tutori, curatori e amministratori di sostegno. Il gestore garantisce, altresì, la protezione della riservatezza delle informazioni in transito da e verso il portale.
4. I soggetti di cui all'art. 2, comma 2, del CAD, nelle ipotesi previste dall'art. 6, comma 2, lettera b), e comma 17, lettera a), e dall'art. 12, comma 1, lettera l), agiscono per conto del titolare in qualità di responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679.
5. I Service provider, con riferimento a dati acquisiti dal SGD ai sensi dell'art. 7, comma 3, agiscono come titolari del trattamento.
6. Al fine di assicurare a deleganti e delegati l'accessibilità alle deleghe e alla documentazione agli stessi riferibili, il titolare del trattamento, avvalendosi del gestore della piattaforma, e, nelle ipotesi di cui all'art. 6, comma 2, lettera b), e comma 17, lettera a), i soggetti di cui all'art. 2, comma 2, del CAD, conservano i dati relativi per il tempo previsto dall'art. 9.
7. Al fine di garantire il corretto utilizzo delle deleghe digitali, il gestore e i Service provider che aderiscono al SGD conservano l'evidenza dell'utilizzo di tali deleghe per il periodo previsto dall'art. 14, comma 1, lettera c).
8. Il titolare del trattamento, avvalendosi del gestore della piattaforma, implementa misure di sicurezza appropriate e specifiche per tutelare i diritti fondamentali e gli interessi delle persone fisiche.
9. Il titolare del trattamento effettua, prima dell'inizio dell'attività di trattamento, la valutazione d'impatto ai sensi dell'art. 35 del regolamento (UE) 679/2016 e consulta il Garante per la protezione dei dati personali ai sensi dell'art. 36 dello stesso regolamento. Nella valutazione d'impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché le eventuali misure poste a tutela dei diritti e delle libertà degli interessati.
10. Il titolare del trattamento, avvalendosi del gestore della piattaforma, previa aggregazione, può utilizzare i dati acquisiti per finalità di miglioramento del servizio erogato, nonché per lo sviluppo del SGD.
11. Il gestore garantisce, con una specifica modalità descritta nel manuale operativo di cui all'art. 3, comma 3, la conoscenza da parte del titolare del trattamento e dei Service provider, in maniera tempestiva, delle violazioni di sicurezza o di qualsiasi minaccia che comporti un rischio per la sicurezza e per i diritti e le libertà degli interessati al trattamento.
Art. 12
Ruolo e responsabilità del Service provider per le attività dell'operatore di sportello
1. Nell'ambito di operatività del SGD e relativamente alle attività dell'operatore di sportello, il Service provider ha il compito di:
a. verificare l'identità personale dell'utente che, a sportello, conferisce la delega ai sensi dell'art. 6, comma 2, lettera b);
b. verificare l'identità personale dell'utente che, a sportello, chiede l'attivazione della delega generale ai sensi dell'art. 6, commi 16 e 18, lettera a);
c. verificare l'identità personale dell'utente che, a sportello, richiede la gestione di una delega digitale semplice o generale;
d. verificare l'identità dell'utente che, a sportello, chiede l'annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7;
e. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, commi 5 e 6;
f. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 14;
g. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 17, lettera a);
h. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 19, lettera a);
i. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 7, comma 4;
j. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 8, commi 5 e 7, lettera b);
k. provvedere alla registrazione e creazione della delega nel SGD con le modalità descritte nel manuale operativo di cui all'art. 3, comma 3;
l. provvedere alla registrazione della richiesta di annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7, e alle attività conseguenti con le modalità descritte nel manuale operativo di cui all'art. 3, comma 3;
m. provvedere alla conservazione della documentazione presentata ai sensi dell'art. 6, commi 5 e 6, lettera a), comma 17, lettera a), comma 19, lettera a), art. 7, comma 4, e art. 8, commi 5 e 7, lettera b).
Art. 13
Ruolo e responsabilità del gestore
1. Nell'ambito di operatività del SGD e relativamente alle attività dell'operatore di backoffice, il gestore ha il compito di:
a. verificare, gestire e conservare la documentazione presentata dall'utente ai sensi dell'art. 6, comma 2, lettera e), comma 14, comma 17, lettera b), comma 19, lettera b), art. 8, commi 5 e 7, lettera a), con le modalità descritte nel manuale operativo di cui all'art. 3, comma 3;
b. provvedere alla registrazione e creazione della delega nel SGD con le modalità descritte nel manuale operativo di cui all'art. 3, comma 3;
c. provvedere alla registrazione della richiesta di annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7, e alle attività conseguenti con le modalità descritte nel manuale operativo di cui all'art. 3, comma 3.
Art. 14
Ruolo e responsabilità del Service provider
1. Nell'ambito di operatività del SGD, i Service provider che aderiscono al SGD:
a. identificano gli utenti che chiedono l'accesso ai loro servizi in rete tramite l'identità digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
b. raccolgono la volontà del soggetto autenticato di agire in qualità di delegato;
c. tengono traccia dell'utilizzo delle deleghe per un periodo di ventiquattro mesi dal loro utilizzo;
d. proteggono le informazioni gestite dal sistema;
e. tengono traccia di tutti gli eventi rilevanti per la sicurezza;
f. garantiscono l'integrità e la riservatezza dei log;
g. implementano misure di protezione da attacchi provenienti dall'esterno;
h. utilizzano un riferimento temporale opponibile ai terzi;
i. proteggono i dati memorizzati nel sistema;
j. adeguano i loro sistemi alle caratteristiche tecniche di cui all'art. 3.
Art. 15
Disposizioni finali
1. All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.
2. Il presente decreto è inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
---
Provvedimento pubblicato nella G.U. 03 agosto 2022, n. 180.
Via Casa Bianca, 3 43123 Parma (PR) - Tel. 0521.463.556 - Fax 0521.496.106 - P.I. 01624470348 © 2013 Studio Boschi - Tutti i diritti riservati - Accesso all'area riservata
Made in DataLabor.Com