Gazzetta n. 180 del 3 agosto 2022 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI - DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE
DECRETO 30 marzo 2022
Disciplina delle modalita' di funzionamento del Sistema di Gestione Deleghe («SGD»).


IL MINISTRO PER L'INNOVAZIONE TECNOLOGICA
E LA TRANSIZIONE DIGITALE

di concerto con

IL MINISTRO DELL'INTERNO

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
Visto il decreto-legge 31 maggio 2021, n. 77, recante «Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure», convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108;
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale», e, in particolare, l'art. 64-ter con cui e' stato istituito il Sistema di gestione deleghe (SGD), affidato alla responsabilita' della struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale;
Visto, in particolare, il comma 5 del citato art. 64-ter del decreto legislativo 7 marzo 2005, n. 82, ai sensi del quale la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale, si avvale dell'Istituto Poligrafico e Zecca dello Stato S.p.a. per la realizzazione, gestione e manutenzione del SGD e per l'erogazione del servizio;
Considerata la necessita' di dare attuazione a quanto disposto al comma 7 del citato art. 64-ter del decreto legislativo 7 marzo 2005, n. 82, che rinvia a un successivo decreto del Presidente del Consiglio dei ministri, da adottarsi di concerto con il Ministro dell'interno, la disciplina delle caratteristiche tecniche, dell'architettura generale, dei requisiti di sicurezza, delle modalita' di acquisizione delle deleghe e di funzionamento del SGD, nonche' l'individuazione delle modalita' di adesione al sistema medesimo, le tipologie di dati oggetto del trattamento, le categorie di interessati e, in generale, le modalita' e procedure per assicurare il rispetto dell'art. 5 del regolamento (UE) 2016/679;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante il «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto del Presidente della Repubblica in data 12 febbraio 2021 con il quale il dott. Vittorio Colao e' stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei ministri in data 13 febbraio 2021 con il quale al Ministro senza portafoglio dott. Vittorio Colao e' stato conferito l'incarico per l'innovazione tecnologica e la transizione digitale;
Visto il decreto del Presidente del Consiglio dei ministri in data 15 marzo 2021 con il quale al Ministro senza portafoglio dott. Vittorio Colao e' stata conferita la delega di funzioni;
Sentita l'Agenzia per l'Italia digitale che si e' espressa con nota del 18 novembre 2021;
Sentito il Garante per la protezione dei dati personali che si e' espresso con parere n. 74 del 24 febbraio 2022;
Sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281, nella seduta del 9 febbraio 2022;
Acquisito il concerto del Ministro dell'interno;

Decreta:

Art. 1

Definizioni

1. Ai fini del presente decreto si intendono per:
a) «CAD»: il decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale»;
b) «classe di servizio delegabile»: il raggruppamento di servizi erogati dal medesimo Service provider aderente al sistema che puo' essere oggetto di una delega digitale;
c) «dato specifico»: il dato richiesto da una specifica classe di servizio in fase di creazione di una delega digitale. Tale dato e' valorizzato dal delegante al momento della creazione di una delega semplice ed e' funzionale all'erogazione di uno o piu' servizi delegabili afferenti ad una classe di servizio specificata;
d) «delega digitale»: l'attributo gestito dal SGD, attestante il possesso e la validita' di poteri di rappresentanza in capo al soggetto delegato e autorizzato a fruire dei servizi oggetto della delega, per conto del soggetto rappresentato;
e) «delega generale»: la delega digitale richiesta da un soggetto nominato tutore, curatore o amministratore di sostegno ovvero dall'esercente la responsabilita' genitoriale, per la cui creazione e' necessaria la verifica delle predette qualita' mediante l'interoperabilita' con la Piattaforma digitale nazionale dati (PDND) di cui all'art. 50-ter del CAD, le altre basi dati nazionali eventualmente disponibili ovvero mediante esibizione della documentazione attestante le qualita'. Tale delega ha per oggetto una o piu' classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema delegabili in virtu' del provvedimento di nomina o della qualita' del delegato e in conformita' ai poteri a questo attribuiti;
f) «delega semplice»: delega digitale conferita dal delegante e per la cui creazione e' necessaria l'identificazione del delegante e del delegato. Tale delega puo' avere per oggetto, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, una o piu' classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema;
g) «delegante»: la persona fisica o giuridica che conferisce una delega digitale a un terzo soggetto per usufruire di una o piu' classi di servizio, selezionate tra quelle configurate nel SGD, ovvero di un singolo servizio erogato dai Service provider aderenti al sistema. Il potere di delega delle persone giuridiche viene esercitato attraverso le persone fisiche che ne hanno la rappresentanza;
h) «delegato»: il soggetto, titolare di identita' digitale di cui all'art. 64, comma 2-quater, del CAD con livello di sicurezza almeno significativo, designato mediante delega digitale a richiedere, in nome e per conto del delegante, l'erogazione dei servizi erogati dai Service provider aderenti al SGD e oggetto della delega;
i) «Dipartimento»: la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale;
j) «Service provider»: il soggetto pubblico o privato che, avendo aderito al SGD, offre servizi on-line e a sportello fruibili anche tramite soggetti terzi muniti di delega digitale;
k) «GDPR»: il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
l) «gestore»: il soggetto che, ai sensi dell'art. 64-ter, comma 5, del CAD, cura la realizzazione, la gestione e la manutenzione del SGD, nonche' l'erogazione del relativo servizio;
m) «Identity provider (IdP)»: il soggetto che effettua l'autenticazione del delegato e, ove previsto, del delegante e del soggetto di cui all'art. 8, commi 5 e 7, tramite la sua identita' digitale e ne raccoglie il consenso all'invio dei dati identificativi al Service provider;
n) «indirizzo di contatto»: l'indirizzo e-mail, il domicilio digitale ovvero un recapito telefonico mobile verificati dal gestore mediante una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3;
o) «operatore di backoffice»: il soggetto incaricato dal gestore di verificare, nei casi previsti, la documentazione trasmessa al SGD e di creare, conseguentemente, la relativa delega digitale ovvero di gestire la richiesta di annullamento della delega generale;
p) «operatore di sportello»: il soggetto incaricato da uno dei soggetti di cui all'art. 2, comma 2, del CAD di gestire a sportello, su richiesta di un delegante o di un delegato, l'intero ciclo di vita delle deleghe digitali ovvero di gestire la richiesta di annullamento della delega generale;
q) «portale»: l'interfaccia web del SGD che consente la gestione dell'intero ciclo di vita delle deleghe digitali;
r) «regole tecniche»: le regole tecniche sul funzionamento del SGD;
s) «servizi»: i servizi resi disponibili ai soggetti delegati dai Service provider aderenti al SGD attraverso la rete e presso i propri sportelli;
t) «servizio delegabile»: il servizio on-line o a sportello che puo' essere fruito anche mediante delega digitale;
u) «sistema o SGD»: il Sistema di gestione delle deleghe di cui all'art. 64-ter, del CAD;
v) «soggetto aggregatore»: il soggetto pubblico o privato che, nel rispetto delle previsioni normative e regolamentari in materia di identita' digitale e di attributi qualificati, offre la possibilita' di rendere accessibili, tramite l'identita' digitale e gli attributi qualificati, i servizi dei Service provider aggregati;
w) «utenti del sistema»: i soggetti che accedono al SGD ai sensi delle precedenti lettere g), h), o), p) ovvero ai sensi dell'art. 8, commi 5 e 7;
x) «ID ANPR»: codice identificativo univoco associato ad ogni iscritto in ANPR utilizzato al fine di garantire la circolarita' dei dati anagrafici e l'interoperabilita' con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici di cui all'art. 2, comma 2, lettere a) e b), del CAD.
 
Art. 2

Oggetto e ambito di applicazione

1. Il presente decreto disciplina le modalita' di funzionamento del Sistema di gestione deleghe (SGD), definendone le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza, le modalita' di acquisizione della delega, le modalita' di adesione, le tipologie dei dati oggetto di trattamento, le categorie di interessati e, in generale, le modalita' e le procedure per assicurare il rispetto dell'art. 5 del GDPR.
 
Art. 3
Infrastruttura tecnologica, requisiti di sicurezza, piano di test per
la verifica del corretto funzionamento e malfunzionamenti

1. Il gestore sviluppa l'infrastruttura tecnologica per l'attuazione dell'art. 64-ter del CAD, applicando i criteri di accessibilita' di cui alla legge 9 gennaio 2004, n. 4, nel rispetto dei principi di usabilita', completezza di informazione, chiarezza del linguaggio, affidabilita', semplicita' di consultazione, qualita', omogeneita' e interoperabilita'.
2. Prima della messa in funzione, il gestore verifica il corretto funzionamento del SGD tramite lo svolgimento di test. Il piano dei test, relativi anche alla sicurezza e alla performance del SGD, e' destinato alla totalita' dei casi d'uso, e delle funzionalita' assegnate al sistema dall'art. 64-ter del CAD e dal presente decreto attuativo.
3. Le caratteristiche tecniche, le regole tecniche e i requisiti di sicurezza del SGD, che utilizza il protocollo OpenID Connect, sono descritti nel manuale operativo pubblicato sul sito web del gestore e sul portale e redatto dallo stesso gestore d'intesa con il Dipartimento, sentiti il Garante per la protezione dei dati personali e la Conferenza unificata. Nello stesso manuale sono individuati i casi in cui puo' essere autorizzato, in via transitoria e per un periodo limitato di tempo, l'utilizzo del protocollo SAML 2.0 nonche' le metriche di successo e fallimento delle operazioni eseguite, unitamente a metriche prestazionali e di qualita', nonche' di assistenza agli utenti. Tali metriche sono utilizzate per monitorare l'operativita' del SGD.
4. I requisiti di sicurezza implementati per l'erogazione dei servizi tramite il SGD garantiscono, in ogni caso:
a. l'integrita' e la riservatezza dei dati;
b. la sicurezza del sistema e dell'accesso a esso;
c. il tracciamento delle operazioni effettuate.
5. Costituiscono casi di malfunzionamento del SGD tutti gli impedimenti tecnici, rilevati anche automaticamente dal sistema con le modalita' di cui al comma 3, secondo periodo, che non consentono la creazione, la gestione e l'utilizzo della delega digitale.
6. Il malfunzionamento del SGD viene segnalato sul sito web del gestore e sul portale. Con le stesse modalita' il gestore comunica il ripristino delle funzionalita' del sistema.
7. Il gestore realizza il SGD, lo gestisce, vigila sul suo corretto funzionamento, ne cura il monitoraggio e la manutenzione, provvede al suo aggiornamento tecnologico e, tramite lo stesso sistema, eroga il servizio di cui all'art. 64-ter del CAD.
8. Fermo restando quanto previsto al comma 3, su richiesta del Service provider, per specifiche e motivate esigenze tecniche, il gestore, d'intesa con il Dipartimento, nei casi individuati dal manuale operativo di cui al comma 3, puo' autorizzare, in via transitoria e per un periodo limitato di tempo, l'utilizzo del protocollo SAML 2.0. ricorrendone i presupposti. L'autorizzazione di cui al precedente periodo reca l'indicazione del limite di tempo massimo consentito per l'utilizzo in via transitoria del protocollo SAML 2.0 e detta le prescrizioni necessarie per l'attuazione dell'obbligo di utilizzo del protocollo OpenID Connect previsto al comma 3.
 
Art. 4

Architettura generale del SGD

1. Il SGD, in particolare, consente di:
a) delegare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, l'accesso a servizi erogati dai Service provider aderenti al sistema, a soggetti in possesso di un'identita' digitale di cui all'art. 64, comma 2-quater, del CAD, con livello di sicurezza almeno significativo o, comunque, di un'identita' digitale basata su credenziali di livello almeno significativo nell'ambito di un regime di identificazione elettronica oggetto di notifica, conclusa con esito positivo, ai sensi dell'art. 9 del regolamento (UE) n. 910/2014;
b) esercitare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza e relativamente ai servizi erogati dai Service provider aderenti al sistema, i poteri relativi alla funzione di delegato, nonche' di tutore, curatore, amministratore di sostegno e di esercente la responsabilita' genitoriale;
c) creare, visualizzare, rinnovare, sospendere, riattivare, revocare le deleghe e verificarne l'utilizzo da parte del soggetto delegato;
d) accettare o rifiutare una delega digitale;
e) annullare una delega digitale nei casi previsti dall'art. 8, commi 5 e 7;
f) utilizzare la delega digitale, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, per fruire dei servizi erogati dai Service provider aderenti al sistema anche presso le loro sedi;
g) tracciare in modo certo e sicuro, nel rispetto delle disposizioni in materia di trattamento dei dati personali, il processo di gestione delle deleghe e il loro utilizzo.
 
Art. 5

Adesione dei Service provider al SGD

1. I Service provider accedono al SGD tramite il soggetto incaricato di curare le attivita' istruttorie preliminari all'adesione al sistema in possesso dell'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. Il soggetto incaricato, individuato dal Service provider tra i propri dipendenti, compila il modulo di adesione, recante anche le condizioni del servizio, reso disponibile sul portale.
3. Il gestore invia al domicilio digitale del Service provider, risultante dall'indice nazionale dei domicili digitali delle imprese e dei professionisti di cui all'art. 6-bis del CAD, dall'indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi di cui all'art. 6-ter del CAD ovvero dall'indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all'iscrizione in albi, elenchi o registri professionali o nel registro delle imprese di cui all'art. 6-quater del CAD, il collegamento al modulo di adesione compilato ai sensi del comma 2. Il Service provider sottoscrive con la firma digitale o con altra firma elettronica qualificata del legale rappresentante o del dirigente competente, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, il modulo di adesione automaticamente acquisito dal gestore all'esito della sottoscrizione.
4. Il gestore, a seguito del perfezionamento del procedimento di adesione da parte del Service provider, esegue un controllo tecnico funzionale in linea con quanto descritto nel manuale operativo di cui all'art. 3, comma 3 e, all'esito, abilita il Service provider a fruire del SGD.
5. I soggetti di cui all'art. 2, comma 2, del CAD, ai sensi di quanto previsto dell'art. 64-ter del CAD, sono tenuti ad accreditarsi al SGD. Il loro accreditamento puo' avvenire anche mediante un soggetto aggregatore.
 
Art. 6

Modalita' di conferimento della delega
nell'ambito del SGD

1. Il SGD consente di delegare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, a un soggetto titolare dell'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, l'accesso ad uno o piu' servizi.
2. Il conferimento della delega semplice puo' essere effettuato, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza e di quanto previsto dall'art. 64-ter, comma 2, secondo periodo, del CAD, con una delle seguenti modalita':
a. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
b. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, limitatamente ai servizi resi disponibili dallo stesso soggetto che acquisisce la delega;
c. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente al delegante di sottoscrivere la delega mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD;
d. utilizzando una specifica funzionalita' del SGD resa disponibile tramite il punto di accesso telematico di cui all'art. 64-bis del CAD;
e. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che, previo accesso del delegato tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, e inserimento del numero identificativo della tessera sanitaria del delegante, consente la trasmissione della copia informatica per immagine della delega analogica sottoscritta dal delegante nonche' della copia informatica per immagine del documento d'identita' dello stesso delegante. In tal caso, la delega e' acquisita dal sistema solo all'esito della verifica della validita' del numero identificativo della tessera sanitaria del delegante mediante una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3.
3. La delega semplice, conferita attraverso una delle modalita' di cui al comma 2, lettere a), c), d) ed e), contiene nome, cognome, codice fiscale e indirizzo di contatto del soggetto delegato nonche' nome, cognome, indirizzo di contatto e, ove disponibile, anche il codice fiscale del soggetto delegante ovvero la sua data di nascita nonche', nel caso di conferimento della delega con la modalita' di cui al comma 2, lettera e), il numero identificativo della tessera sanitaria e puo' avere a oggetto, nel rispetto delle vigenti disposizioni in materia di rappresentanza e trattamento dei dati personali:
a. uno specifico servizio erogato dal Service provider;
b. tutti i servizi erogati dal Service provider;
c. una o piu' classi di servizio erogato dal medesimo Service provider;
d. specifici servizi erogati da differenti Service provider;
e. tutti i servizi erogati da tutti i Service provider, nel caso di procura generale rilasciata nel rispetto delle vigenti disposizioni in materia di rappresentanza;
f. differenti classi di servizio erogato da differenti Service provider.
4. Nel caso di conferimento della delega semplice con la modalita' di cui al comma 2, lettera b), la stessa contiene nome, cognome, codice fiscale e indirizzo di contatto del soggetto delegato nonche' nome, cognome, indirizzo di contatto e, ove disponibile, anche il codice fiscale del soggetto delegante ovvero la sua data di nascita e puo' avere a oggetto esclusivamente:
a. uno specifico servizio erogato dal Service provider;
b. tutti i servizi erogati dal Service provider;
c. uno o piu' classi di servizio erogato dal medesimo Service provider.
5. Il delegante, nel caso di conferimento della delega semplice con la modalita' di cui al comma 2, lettera b), esibisce il proprio documento d'identita' e ne consegna copia all'operatore di sportello unitamente al documento di delega sottoscritto con firma autografa.
6. Nell'ipotesi di cui al comma 2, lettera b), nel caso di persone allettate per lunga durata, ricoverate o impossibilitate per motivi sanitari a recarsi presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, la delega semplice puo' essere conferita anche mediante acquisizione da parte dell'operatore di sportello della delega sottoscritta dal delegante e presentata direttamente dal delegato unitamente alla copia del documento d'identita' dello stesso delegante e all'attestazione sanitaria redatta da un medico del servizio sanitario nazionale attestante l'impossibilita' del delegante di recarsi presso lo sportello. Il delegato, inoltre, esibisce il proprio documento d'identita' e ne consegna copia all'operatore di sportello.
7. La delega semplice di cui ai precedenti commi 3, lettera c), e 4, lettera c), puo' contenere dei dati specifici funzionali all'erogazione di uno o piu' servizi.
8. Il SGD, acquisita la delega semplice, elabora un codice di accettazione che, fatta salva l'ipotesi di cui al comma 2, lettera e), e' comunicato al delegato.
9. Il soggetto delegato, accedendo al SGD tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo, presa visione della proposta di delega, puo' procedere alla sua accettazione, inserendo il codice fornitogli dal delegante.
10. Il SGD informa il delegante in merito all'accettazione o all'eventuale rifiuto della delega da parte del soggetto delegato tramite avviso di cortesia all'indirizzo di contatto.
11. Il SGD consente al delegante di revocare in ogni tempo, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, la delega conferita, informando automaticamente il delegato tramite avviso di cortesia all'indirizzo di contatto. Il SGD consente, altresi', al delegato di rinunciare in ogni tempo alla delega informando automaticamente il delegante tramite avviso di cortesia all'indirizzo di contatto.
12. Il SGD invia al delegante, all'indirizzo di contatto, un avviso di cortesia ogni volta che viene esercitata la delega, nonche', con periodicita' mensile, un promemoria delle deleghe attive e consente, altresi', allo stesso di monitorare in ogni tempo gli accessi operati per suo conto presso i diversi Service provider aderenti.
13. Uno stesso soggetto puo' ricevere, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, deleghe semplici da parte di tutti i componenti della propria famiglia anagrafica e, annualmente, non piu' di cinque deleghe, a titolo gratuito, da parte di soggetti non appartenenti alla medesima famiglia anagrafica. La delega ricevuta da un soggetto non appartenente alla famiglia anagrafica e poi revocata ai sensi dell'art. 8, comma 2, e' conteggiata ai fini del raggiungimento del numero massimo di deleghe annuali fissato dal periodo precedente.
14. I limiti di cui al comma 13 non trovano applicazione per i professionisti iscritti a ordini, albi o collegi e per le persone giuridiche dotate di specifiche autorizzazioni previste dalla legge quando tali soggetti, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, ricevono la delega relativamente a servizi rientranti nell'ambito dell'attivita' svolta professionalmente o istituzionalmente. In caso di delega ad uno dei soggetti del periodo precedente, la stessa deve contenere anche l'indicazione della qualifica professionale del delegato iscritto ad un ordine, albo o collegio ovvero dell'autorizzazione di cui e' dotata la persona giuridica delegata. La delega, conferita con una delle modalita' di cui al comma 2, lettere a), c), d) ed e), e' acquisita dal sistema solo all'esito della presentazione da parte del delegato, mediante una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3, di una dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettere i), l), n) e u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui e' possibile evincere la qualifica professionale del delegato iscritto ad un ordine, albo o collegio ovvero l'autorizzazione di cui e' dotata la persona giuridica delegata che legittimano la richiesta di accesso al servizio o alle classi di servizio. Alla delega, conferita con la modalita' di cui al comma 2, lettera b), deve essere allegata la dichiarazione sostitutiva di certificazione di cui al precedente periodo.
15. Nel caso di delega semplice rilasciata, ai sensi del presente decreto e comunque nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, a persona giuridica, ente o associazione, dotati di specifiche autorizzazioni previste dalla legge per lo svolgimento di attivita' relative ai servizi delegati, il legale rappresentante puo' designare per l'esecuzione della delega uno o piu' dipendenti mediante una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3. In tal caso, il sistema consente di circoscrivere la delega in relazione a uno o piu' deleganti, non e' richiesta accettazione da parte del dipendente delegato e non e' prevista la possibilita' di rinuncia.
16. Nel caso di delega generale, il tutore, il curatore o l'amministratore di sostegno possono chiedere l'attivazione della delega, indicando contestualmente una o piu' classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service provider aderenti al sistema tra quelli delegabili in virtu' del provvedimento di nomina, con una delle seguenti modalita':
a. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD, limitatamente ai servizi resi disponibili dallo stesso soggetto che provvede all'attivazione della delega generale;
b. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, accedendo tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
c. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente al tutore, al curatore o all'amministratore di sostegno di sottoscrivere la richiesta di attivazione mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD.
17. Il tutore, il curatore o l'amministratore di sostegno procede alla richiesta di attivazione della delega con le seguenti modalita':
a. nei casi di cui al comma 16, lettera a), esibisce il proprio documento d'identita' e ne consegna copia all'operatore di sportello unitamente alla copia del documento d'identita' del tutelato e alla copia conforme del provvedimento di nomina ovvero alla dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui e' possibile evincere la qualita' e i poteri esercitabili in virtu' del provvedimento di nomina;
b. nei casi di cui al comma 16, lettere b) e c), trasmette la copia conforme per immagine del provvedimento di nomina ovvero dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui e' possibile evincere la qualita' e i poteri esercitabili in virtu' del provvedimento di nomina, unitamente alla copia del documento d'identita' del tutelato. Nell'ipotesi prevista al comma 16, lettera c), la dichiarazione sostitutiva e' sottoscritta mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD. La trasmissione della dichiarazione sostitutiva non e' necessaria se, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilita' con la Piattaforma digitale nazionale dati (PDND), o con basi dati nazionali eventualmente disponibili, e' possibile verificare automaticamente la qualita' e i poteri esercitabili.
18. Gli esercenti la responsabilita' genitoriale, in conformita' a poteri loro attribuiti, possono chiedere l'attivazione della delega generale per i minori rappresentati con una delle seguenti modalita':
a. presso gli sportelli di uno dei soggetti di cui all'art. 2, comma 2, del CAD limitatamente ai servizi resi disponibili dallo stesso soggetto che provvede all'attivazione della delega generale;
b. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, accedendo tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
c. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, che consente all'esercente la responsabilita' genitoriale di sottoscrivere la richiesta di attivazione mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD.
19. L'esercente la responsabilita' genitoriale, procede alla richiesta di attivazione della delega con le seguenti modalita':
a. nel caso di cui al comma 18, lettera a), esibisce il proprio documento d'identita' e ne consegna copia all'operatore di sportello unitamente alla copia del documento d'identita' del minore rappresentato, alla dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui e' possibile evincere la responsabilita' genitoriale;
b. nel caso di cui al comma 18, lettere b) e c), trasmette la dichiarazione sostitutiva di certificazione, di cui all'art. 46, comma 1, lettera u), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, da cui e' possibile evincere la responsabilita' genitoriale unitamente la copia informatica per immagine del documento d'identita' del minore rappresentato. La dichiarazione sostitutiva e' sottoscritta mediante una delle firme di cui all'art. 20, comma 1-bis, del CAD. Nell'ipotesi prevista al comma 18, lettera c), la trasmissione della dichiarazione sostitutiva non e' necessaria se, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilita' con la Piattaforma digitale nazionale dati (PDND), o con basi dati nazionali eventualmente disponibili, e' possibile verificare automaticamente la qualita' e i poteri esercitabili.
20. Il SGD, a partire dalla data in cui e' assicurata l'interoperabilita' con la PDND ovvero con l'Anagrafe nazionale della popolazione residente (ANPR), verifica automaticamente, in fase di acquisizione della delega e tramite una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3, la correttezza dei dati del delegante e del delegato a cui la stessa delega si riferisce. A partire dalla stessa data, il SGD verifica automaticamente, altresi', tramite una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3, il venir meno dei poteri di rappresentanza ove tale circostanza sia rilevabile mediante interoperabilita' con la PDND ovvero con basi dati nazionali eventualmente disponibili.
 
Art. 7

Modalita' di funzionamento del SGD

1. Il sistema consente ai Service provider di gestire le sessioni degli utenti che intendono operare in qualita' di delegati. A tal fine e' necessaria la previa autenticazione dell'utente delegato, presso il Service provider, tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. Nel gestire l'utente delegato, il Service provider fornisce al SGD prova dell'avvenuta autenticazione, con le modalita' indicate nelle regole tecniche sul funzionamento descritte nel manuale operativo di cui all'art. 3, comma 3, tenuto conto anche delle linee guida contenenti regole tecniche dei gestori di attributi qualificati.
3. Il SGD, verificata la correttezza e l'adeguatezza dell'avvenuta autenticazione, consente all'utente delegato di selezionare la delega con la quale intende agire fornendo al Service provider, con le modalita' indicate nelle regole tecniche sul funzionamento e descritte nel manuale operativo di cui all'art. 3, comma 3, tenuto conto anche delle linee guida contenenti regole tecniche dei gestori di attributi qualificati, le informazioni afferenti al delegante o, comunque, al rappresentato, comprensive del codice fiscale e di eventuali, necessari, dati specifici.
4. Il SGD consente all'utente delegato di ottenere un'attestazione della delega ricevuta. Tale attestazione, munita del contrassegno a stampa di cui all'art. 23, comma 2-bis, del CAD, puo' essere utilizzata, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, anche per la fruizione dei servizi presso gli sportelli dei Service provider, previa esibizione da parte del delegato del proprio documento d'identita' di cui consegna copia all'operatore di sportello.
 
Art. 8

Durata della delega ed eventi modificativi

1. Il delegante, al momento del conferimento, definisce il periodo di validita' della delega digitale che, in ogni caso, non puo' essere superiore a due anni.
2. Il delegante puo' revocare in qualsiasi momento la delega conferita utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, ovvero tramite gli sportelli dei Service provider per i servizi da questi resi disponibili.
3. Fatto salvo quanto previsto all'art. 6, comma 15, il delegato puo' rinunciare in qualsiasi momento alle deleghe semplici precedentemente accettate utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3.
4. La delega generale di tutori, curatori o amministratori di sostegno ha una durata corrispondente a quella fissata nel provvedimento di nomina.
5. In caso di revoca della tutela, della curatela o dell'amministrazione di sostegno, di rimozione o sostituzione del tutore, del curatore o dell'amministratore di sostegno, la delega generale e' annullata a richiesta di chiunque ne abbia interesse. Tale richiesta e' presentata:
a. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso dell'istante tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo e trasmissione di copia conforme informatica per immagine della documentazione attestante la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno. La trasmissione della copia conforme non e' necessaria se, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilita' con la Piattaforma digitale nazionale dati (PDND) o con basi dati nazionali eventualmente disponibili, e' possibile verificare automaticamente la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno;
b. tramite gli sportelli dei Service provider, previa esibizione da parte dell'istante del proprio documento d'identita' e consegna di copia dello stesso documento all'operatore di sportello unitamente alla copia conforme della documentazione attestante la revoca della tutela, della curatela o dell'amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell'amministratore di sostegno.
6. La delega generale dell'esercente la responsabilita' genitoriale e' valida fino al raggiungimento della maggiore eta' del minore rappresentato o della sua emancipazione ovvero fino all'eventuale decadenza o sospensione della responsabilita' genitoriale.
7. In caso di emancipazione, decadenza o di sospensione della responsabilita' genitoriale, la delega generale e' annullata a richiesta di chiunque ne abbia interesse. Tale richiesta e' presentata:
a. utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, previo accesso dell'istante tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo e trasmissione di copia conforme, informatica per immagine, della documentazione attestante, a seconda dei casi, l'emancipazione, la decadenza o la sospensione della responsabilita' genitoriale. La trasmissione della copia conforme non e' necessaria se, utilizzando una specifica funzionalita' resa disponibile sul portale e descritta nel manuale operativo di cui all'art. 3, comma 3, e tramite l'interoperabilita' con la Piattaforma digitale nazionale dati (PDND) o con basi dati nazionali eventualmente disponibili, e' possibile verificare automaticamente l'emancipazione, la decadenza o la sospensione della responsabilita' genitoriale;
b. tramite gli sportelli dei Service provider, previa esibizione da parte dell'istante del proprio documento d'identita' e consegna di copia dello stesso documento all'operatore di sportello unitamente alla copia conforme della documentazione attestante, a seconda dei casi, l'emancipazione, la decadenza o la sospensione della responsabilita' genitoriale.
8. Al raggiungimento della maggiore eta' del minore rappresentato, la delega generale e' annullata automaticamente dal SGD tramite una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3.
9. A partire dalla data in cui e' assicurata l'interoperabilita' con la PDND, con l'Anagrafe nazionale della popolazione residente (ANPR) o con le altre basi dati nazionali eventualmente disponibili, le deleghe semplici e generali sono annullate dal SGD, tramite una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3, qualora dalla verifica automatica del SGD risulti il decesso del delegante o del delegato ovvero altra causa oggettiva di cessazione della delega.
 
Art. 9

Periodo di conservazione delle deleghe digitali
e della relativa documentazione

1. Il gestore conserva le deleghe digitali semplici e generali, per un periodo di dieci anni dalla data in cui viene meno la loro validita', tramite memorizzazione nel rispetto delle disposizioni del regolamento UE 679/2016 e del CAD.
2. Il medesimo termine si applica per la conservazione della documentazione, comprensiva delle informative relative al trattamento dei dati, presentata dal delegante o dal delegato e acquisita dall'operatore di backoffice o di sportello.
3. Durante il predetto periodo di conservazione, il gestore garantisce l'accesso ai dati e ai documenti conservati al delegante e al delegato interessati previa identificazione allo sportello o tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo. L'accesso da parte del delegato e' limitato esclusivamente ai dati e ai documenti riferiti alle deleghe dallo stesso ricevute.
 
Art. 10
Tipologie di dati oggetto di trattamento, categorie di interessati e
procedure per assicurare il rispetto dell'art. 5 del regolamento UE
2016/679

1. Nell'ambito di operativita' del SGD, i dati personali oggetto del trattamento sono:
a. il nome, il cognome, il codice fiscale e la data di nascita dei delegati e, ove disponibile, l'ID ANPR degli stessi;
b. il nome, il cognome, la data di nascita dei deleganti e, ove disponibile, il codice fiscale, il numero identificativo della tessera sanitaria e l'ID ANPR degli stessi;
c. l'indirizzo di posta elettronica dei delegati e dei deleganti;
d. il domicilio digitale dei delegati e dei deleganti se eletto;
e. il recapito telefonico mobile dei delegati e dei deleganti se comunicato;
f. l'evidenza informatica attestante l'avvenuta autenticazione del soggetto delegato mediante l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
g. l'evidenza informatica attestante l'avvenuta autenticazione del soggetto delegante mediante l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
h. la condizione di soggetto sottoposto a tutela, curatela o amministrazione di sostegno;
i. la qualita' di tutore, curatore o amministratore di sostegno;
j. la condizione di minore rappresentato dall'esercente la responsabilita' genitoriale;
k. la qualita' di esercente la responsabilita' genitoriale;
l. il nome, il cognome, il codice fiscale e la data di nascita dei soggetti di cui all'art. 8, commi 5 e 7 e, ove disponibile, l'ID ANPR degli stessi;
m. l'indirizzo di posta elettronica dei soggetti di cui all'art. 8, commi 5 e 7;
n. il domicilio digitale dei soggetti di cui all'art. 8, commi 5 e 7 se eletto;
o. il il recapito telefonico mobile dei soggetti di cui all'art. 8, commi 5 e 7 se comunicato;
p. quelli presenti nell'asserzione di avvenuta autenticazione dei soggetti di cui all'art. 8, commi 5 e 7, mediante l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo.
2. I dati di cui al precedente comma 1, lettere c), d) ed e), possono essere utilizzati per inviare comunicazioni relative alla creazione, allo stato, alle modifiche e all'utilizzo delle deleghe.
3. I dati di cui al precedente comma 1, lettere m), n) e o), possono essere utilizzati per inviare comunicazioni e aggiornamenti a seguito delle richieste presentate.
4. I dati personali di cui al presente articolo sono trattati dagli operatori di backoffice e dagli operatori di sportello per lo svolgimento delle attivita' di rispettiva competenza nonche' dal gestore per garantire il corretto funzionamento del sistema.
5. I dati personali e tutti i dati afferenti all'utilizzo e alla gestione del sistema sono conservati dal gestore sul territorio nazionale con modalita' atte a garantirne la protezione mediante misure tecniche e organizzative idonee ad evitare trattamenti non autorizzati o illeciti, la perdita e la distruzione.
 
Art. 11

Disposizioni in materia
di trattamento dei dati personali

1. I dati personali di cui all'art. 10 sono trattati esclusivamente per le finalita' inerenti alla creazione, alla gestione e all'utilizzo delle deleghe.
2. Il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri e' titolare dei dati utilizzati per l'accesso al SGD da parte dei delegati e dei deleganti, dei dati necessari per l'adesione al SGD da parte dei Service provider, e ogni altro dato inerente alla gestione di ogni attivita' strumentale all'utilizzo dello stesso SGD, ivi inclusi i dati relativi alla salute dei soggetti rappresentati da tutori, curatori e amministratori di sostegno.
3. Il gestore, ai sensi dell'art. 28 del regolamento UE 2016/679, agisce per conto del titolare in qualita' di responsabile del trattamento dei dati utilizzati per l'accesso al SGD da parte dei delegati e dei deleganti, dei dati necessari per l'adesione al SGD da parte dei Service provider, e ogni altro dato inerente alla gestione di ogni attivita' strumentale all'utilizzo dello stesso SGD, ivi inclusi i dati relativi alla salute dei soggetti rappresentati da tutori, curatori e amministratori di sostegno. Il gestore garantisce, altresi', la protezione della riservatezza delle informazioni in transito da e verso il portale.
4. I soggetti di cui all'art. 2, comma 2, del CAD, nelle ipotesi previste dall'art. 6, comma 2, lettera b), e comma 17, lettera a), e dall'art. 12, comma 1, lettera l), agiscono per conto del titolare in qualita' di responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679.
5. I Service provider, con riferimento a dati acquisiti dal SGD ai sensi dell'art. 7, comma 3, agiscono come titolari del trattamento.
6. Al fine di assicurare a deleganti e delegati l'accessibilita' alle deleghe e alla documentazione agli stessi riferibili, il titolare del trattamento, avvalendosi del gestore della piattaforma, e, nelle ipotesi di cui all'art. 6, comma 2, lettera b), e comma 17, lettera a), i soggetti di cui all'art. 2, comma 2, del CAD, conservano i dati relativi per il tempo previsto dall'art. 9.
7. Al fine di garantire il corretto utilizzo delle deleghe digitali, il gestore e i Service provider che aderiscono al SGD conservano l'evidenza dell'utilizzo di tali deleghe per il periodo previsto dall'art. 14, comma 1, lettera c).
8. Il titolare del trattamento, avvalendosi del gestore della piattaforma, implementa misure di sicurezza appropriate e specifiche per tutelare i diritti fondamentali e gli interessi delle persone fisiche.
9. Il titolare del trattamento effettua, prima dell'inizio dell'attivita' di trattamento, la valutazione d'impatto ai sensi dell'art. 35 del regolamento (UE) 679/2016 e consulta il Garante per la protezione dei dati personali ai sensi dell'art. 36 dello stesso regolamento. Nella valutazione d'impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonche' le eventuali misure poste a tutela dei diritti e delle liberta' degli interessati.
10. Il titolare del trattamento, avvalendosi del gestore della piattaforma, previa aggregazione, puo' utilizzare i dati acquisiti per finalita' di miglioramento del servizio erogato, nonche' per lo sviluppo del SGD.
11. Il gestore garantisce, con una specifica modalita' descritta nel manuale operativo di cui all'art. 3, comma 3, la conoscenza da parte del titolare del trattamento e dei Service provider, in maniera tempestiva, delle violazioni di sicurezza o di qualsiasi minaccia che comporti un rischio per la sicurezza e per i diritti e le liberta' degli interessati al trattamento.
 
Art. 12

Ruolo e responsabilita' del Service provider
per le attivita' dell'operatore di sportello

1. Nell'ambito di operativita' del SGD e relativamente alle attivita' dell'operatore di sportello, il Service provider ha il compito di:
a. verificare l'identita' personale dell'utente che, a sportello, conferisce la delega ai sensi dell'art. 6, comma 2, lettera b);
b. verificare l'identita' personale dell'utente che, a sportello, chiede l'attivazione della delega generale ai sensi dell'art. 6, commi 16 e 18, lettera a);
c. verificare l'identita' personale dell'utente che, a sportello, richiede la gestione di una delega digitale semplice o generale;
d. verificare l'identita' dell'utente che, a sportello, chiede l'annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7;
e. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, commi 5 e 6;
f. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 14;
g. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 17, lettera a);
h. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 6, comma 19, lettera a);
i. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 7, comma 4;
j. verificare e gestire la documentazione presentata dall'utente ai sensi dell'art. 8, commi 5 e 7, lettera b);
k. provvedere alla registrazione e creazione della delega nel SGD con le modalita' descritte nel manuale operativo di cui all'art. 3, comma 3;
l. provvedere alla registrazione della richiesta di annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7, e alle attivita' conseguenti con le modalita' descritte nel manuale operativo di cui all'art. 3, comma 3;
m. provvedere alla conservazione della documentazione presentata ai sensi dell'art. 6, commi 5 e 6, lettera a), comma 17, lettera a), comma 19, lettera a), art. 7, comma 4, e art. 8, commi 5 e 7, lettera b).
 
Art. 13

Ruolo e responsabilita' del gestore

1. Nell'ambito di operativita' del SGD e relativamente alle attivita' dell'operatore di backoffice, il gestore ha il compito di:
a. verificare, gestire e conservare la documentazione presentata dall'utente ai sensi dell'art. 6, comma 2, lettera e), comma 14, comma 17, lettera b), comma 19, lettera b), art. 8, commi 5 e 7, lettera a), con le modalita' descritte nel manuale operativo di cui all'art. 3, comma 3;
b. provvedere alla registrazione e creazione della delega nel SGD con le modalita' descritte nel manuale operativo di cui all'art. 3, comma 3;
c. provvedere alla registrazione della richiesta di annullamento della delega generale ai sensi dell'art. 8, commi 5 e 7, e alle attivita' conseguenti con le modalita' descritte nel manuale operativo di cui all'art. 3, comma 3.
 
Art. 14

Ruolo e responsabilita' del Service provider

1. Nell'ambito di operativita' del SGD, i Service provider che aderiscono al SGD:
a. identificano gli utenti che chiedono l'accesso ai loro servizi in rete tramite l'identita' digitale di cui all'art. 4, comma 1, lettera a), di livello di sicurezza almeno significativo;
b. raccolgono la volonta' del soggetto autenticato di agire in qualita' di delegato;
c. tengono traccia dell'utilizzo delle deleghe per un periodo di ventiquattro mesi dal loro utilizzo;
d. proteggono le informazioni gestite dal sistema;
e. tengono traccia di tutti gli eventi rilevanti per la sicurezza;
f. garantiscono l'integrita' e la riservatezza dei log;
g. implementano misure di protezione da attacchi provenienti dall'esterno;
h. utilizzano un riferimento temporale opponibile ai terzi;
i. proteggono i dati memorizzati nel sistema;
j. adeguano i loro sistemi alle caratteristiche tecniche di cui all'art. 3.
 
Art. 15

Disposizioni finali

1. All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.
2. Il presente decreto e' inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 30 marzo 2022

Il Ministro
per l'innovazione tecnologica
e la transizione digitale
Colao Il Ministro dell'interno
Lamorgese

Registrato alla Corte dei conti il 18 luglio 2022 Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, n. 1843