Premesse
Il consulente del lavoro Giancarlo Di Pietro (di seguito, anche “Azienda”), nell’ambito di un proprio progetto di dematerializzazione documentale, ha introdotto un processo informatico che attribuisce in modo univoco una firma elettronica avanzata remota (FEA) (di seguito, anche “Servizio”) ad una persona fisica utile a sottoscrivere documenti elettronici. I documenti elettronici da firmare mediante il Servizio sono quelli necessari o utili per l’esecuzione dei servizi che l’Azienda eroga, sulla base di un accordo, all’utilizzatore della FEA o elaborati nello svolgimento degli stessi, garantendone la medesima validità giuridica ed efficacia probatoria dei tradizionali documenti cartacei. Dopo la sottoscrizione, il documento elettronico assumerà le caratteristiche informatiche di integrità e di immodificabilità. I documenti elettronici sottoscritti con FEA integreranno il requisito di forma di cui all’art. 1350 n. 13 del Codice Civile e avranno la stessa efficacia giuridica e probatoria riconosciuta dal nostro ordinamento alle scritture private (art. 2702 del Codice Civile).
L’adesione al Servizio è completamente gratuita e facoltativa. Nel prosieguo di definisce Firmatario il soggetto che chiede all’Azienda l’erogazione del Servizio.
DESCRIZIONE E CONDIZIONI DI UTILIZZO DEL SERVIZIO
Le soluzioni di FEA devono rispettare le regole tecniche previste dal DPCM 22/02/2013 che all’articolo 56 stabiliscono:
“1. Le soluzioni di firma elettronica avanzata garantiscono:
a) l’identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a);
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
h) la connessione univoca della firma al documento sottoscritto.”
|
a) L’identificazione del firmatario del documento; |
Il processo di attivazione del Servizio viene avviato dalla società a seguito: A. del ricevimento da parte dell’Azienda della (i) richiesta di attivazione della FEA – che deve contenere anche numero di cellulare attivo e indirizzo mail attivo del Firmatario – con accettazione, da parte del Firmatario, delle presenti “Condizioni Generali di Utilizzo del Servizio” che avviene con firma elettronica semplice attraverso consensi apposti elettronicamente su formulario telematico (es. check box); B. dell’identificazione del Firmatario da parte dell’Azienda, tramite il ricevimento: · di una immagine del documento di identità in corso di validità del Firmatario (scansione o fotografia). · un numero di cellulare attivo, · una e-mail attiva. Per documento d’identità si intende esclusivamente uno dei seguenti documenti del Firmatario: · Carta di Identità · Patente di Guida · Passaporto L’Azienda prima dell’avvio della procedura di attivazione effettua l’identificazione del Firmatario mediante la verifica di un documento di identità in corso di validità e altre procedure definite dall’Azienda oppure tramite riconoscimento web. |
|
b) La connessione univoca della firma al firmatario |
La connessione univoca tra firma e Firmatario avviene secondo una o entrambe le presenti modalità:
|
|
c) Il controllo esclusivo del firmatario del sistema di generazione della firma; |
Il Servizio è strutturato per attribuire al Firmatario il controllo esclusivo del sistema di generazione della firma, in quanto la soluzione consente al Firmatario stesso: · di avere il controllo completo di quanto a lui mostrato al momento della firma, in particolare il Firmatario può visionare le parti del documento e visualizzare i punti ove apporre la FEA · di detenere il controllo esclusivo del processo, con la garanzia della connessione univoca dello stesso al documento informatico sottoscritto. All’atto della sottoscrizione della documentazione, la verifica positiva del codice OTP immesso dal Firmatario determina la sottoscrizione elettronica del documento informatico; in tal modo la FEA viene associata in maniera sicura e non modificabile al documento informatico. Senza la apposizione del codice OTP inviato con SMS al numero di cellulare comunicato dal Firmatario, o con apposizione di OTP non corretto, non è possibile apporre la FEA sui documenti proposti in firma. L’invio dell’OTP al cellulare indicato al momento della firma rafforza la connessione univoca tra firma a Firmatario. |
|
d) La possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; |
I documenti da sottoscrivere sono prodotti in un formato tale da impedire l’inserimento all’interno degli stessi di programmi o istruzioni potenzialmente atti a modificare gli atti, fatti o dati rappresentati nei documenti medesimi. L’integrità del documento viene garantita dalla apposizione di un certificato digitale non qualificato “one shot” del Firmatario, all’interno del pdf attraverso la creazione di una firma conforme allo standard denominato PAdES. È previsto, inoltre, l’inserimento del riferimento temporale e della marca temporale. Le tecnologie di FEA utilizzate prevedono le impronte informatiche (hash) del documento informatico da sottoscrivere. La corrispondenza tra un’impronta ricalcolata e quella “sigillata” all’interno delle firme, permette di verificare che il documento sottoscritto non abbia subito modifiche dopo l’apposizione della firma. |
|
e) La possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
|
Il Firmatario prima di firmare i documenti può visualizzarli in ogni parte, a seguito della apposizione della FEA può effettuare il download di quanto sottoscritto. |
|
f) L’individuazione del soggetto erogatore delle soluzioni di FEA |
È l’Azienda. |
|
g) L’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
|
L’intero processo non è modificabile dall’Azienda. I documenti da sottoscrivere sono prodotti in un formato tale da impedire l’inserimento all’interno degli stessi di programmi o istruzioni potenzialmente atti a modificare gli atti, fatti o dati rappresentati nei documenti medesimi. |
|
h) La connessione univoca della firma al documento sottoscritto |
La connessione univoca avviene mediante l’apposizione del certificato non qualificato attraverso OTP, inviato con SMS al cellulare del Firmatario, a cui sono proposti i documenti per la firma. I dati della firma vengono inseriti all’interno del pdf. |
Conservazione e copia dell’adesione al servizio
Copia delle presenti “Condizioni Generali di Utilizzo del Servizio” e della dichiarazione di adesione da parte del Firmatario, effettuata con firma elettronica, viene conservata dall’Azienda, secondo quanto previsto dalla normativa, garantendo, durante tutto l’arco temporale di conservazione, la disponibilità, l’integrità, la leggibilità e l’autenticità della stessa. Il Firmatario può in ogni momento richiedere all’Azienda una copia delle presenti Condizioni Generali e della dichiarazione di adesione al Servizio medesimo.
Revoca
Il Firmatario può chiedere copia della documentazione sottoscritta, nonché revocare in ogni momento la propria adesione al servizio FEA, mediante sottoscrizione di un apposito modulo, disponibile in questo link.
Adempimenti a carico dell’Azienda
Restano a carico esclusivo dell’Azienda tutti gli adempimenti e le prescrizioni previste dall’art. 57 del DPCM 22 febbraio 2013.
Trattamento dati personali
Con la sottoscrizione dell’accordo il Firmatario accetta il trattamento dei dati finalizzati all’erogazione del servizio compresa la registrazione di immagini e suoni finalizzati al riconoscimento del Firmatario. L’informativa al trattamento dei dati personali prevista dall’art. 13 del Reg UE 2016/679 è presente sul sito www.giancarlodipietro.it nella quale sono previste anche le modalità per l’esercizio dei diritti degli interessati e i contatti necessari per l’identificazione di tutti i fornitori erogatori del servizio.
Assicurazione per la responsabilità civile
Secondo quanto previsto dal comma 2 dell’art. 57 del DPCM 22 febbraio 2013, l’Azienda si è dotata di una idonea copertura assicurativa per la responsabilità civile verso terzi.
La presente Nota Informativa, contenente le informazioni relative alle caratteristiche del servizio di firma elettronica avanzata è pubblicata sul sito dell’Azienda a questo link essendo così sempre disponibile per la clientela ed il pubblico in generale.
INFORMATIVA sul trattamento dei dati personali
Articoli 12 e ss. del Regolamento (UE) 2016/679 (GDPR)
Oggetto: informativa sul trattamento dei dati personali ai sensi degli articoli 12 e ss del Regolamento (UE) 2016/679 per la Firma Elettronica Avanzata
Identificativi del Titolare e, se designati, del Rappresentante nel territorio dello Stato e del Responsabile.
Titolare del trattamento – Titolare del trattamento è lo scrivente Studio Giancarlo Di Pietro, con sede legale in Bellante Stazione (TE) Via Nazionale n. 30; Tel: 0861230033; pec: di_pietro.giancarlo@consulentidellavoropec.it; email: info@giancarlodipietro.it.
Responsabile della protezione dei dati – Il Responsabile della protezione dei dati è Giancarlo Di Pietro, il cui recapito email è: info@giancarlodipietro.it.
Premessa – La presente per informarLa, in osservanza della sopraccitata norma, che in relazione al rilascio della Firma Elettronica Avanzata (FEA), il Titolare del trattamento è in possesso di alcuni dati a Lei relativi, che sono stati acquisiti al fine dell’erogazione del suddetto servizio.
In ossequio a tale premessa si forniscono le seguenti informazioni:
Dati personali raccolti – Lo scrivente, in qualità di Titolare utilizza i Suoi dati personali per operare al meglio nell’esercizio della propria attività.
Potranno esserLe richiesti, i seguenti dati:
– dati anagrafici e dati di contatto;
– dati personali non biometrici tramite il modulo di adesione alla FEA;
– dati relativi alle immagini registrate durante il colloquio di identificazione del soggetto firmatario;
– codice fiscale e carta di identità.
Tempi di conservazione dei Suoi dati – I dati raccolti saranno conservati per tutta la durata del rapporto o collaborazione, in particolare le pratiche relative al riconoscimento sono conservate per 20 anni, i documenti firmati per 10 anni. Qualora in costanza di rapporto contrattuale siano trattati dati non inerenti agli adempimenti amministrativo contabili ad esso connessi, tali dati saranno conservati per il tempo necessario al raggiungimento della finalità per cui sono stati raccolti e poi cancellati. I tempi di conservazione di tali dati Le saranno comunicati quando tali dati saranno raccolti con informative specifiche.
Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto – Devono essere obbligatoriamente conferiti allo scrivente i dati essenziali per l’attivazione della FEA, come sopra identificati; come pure i dati necessari ad adempiere ad obblighi previsti da leggi, regolamenti, normative comunitarie, ovvero da disposizioni di Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo.
Modalità del trattamento – Ai sensi e per gli effetti degli artt. 12 e ss. del GDPR, desideriamo informarLa che i dati personali da Lei comunicatici saranno trattati in ottemperanza delle misure tecniche e organizzative adeguate di cui all’art. 32 del GDPR.
Trasferimento di dati personali all’estero – I dati da Lei forniti saranno trattati solo in Italia. Qualora in costanza di rapporto contrattuale i Suoi dati siano trattati in uno stato non appartenente all’UE, saranno garantiti i diritti a Lei attribuiti dalla normativa comunitaria e le verrà data tempestiva comunicazione.
Finalità del trattamento cui sono destinati i dati personali – La finalità del trattamento dei Suoi dati personali che lo scrivente intende effettuare è quella di consentire il rilascio della Firma Elettronica Avanzata.
Ambito di conoscenza dei Suoi dati – Potranno venire a conoscenza dei Suoi dati le seguenti categorie di soggetti nominati responsabili o incaricati del trattamento dallo scrivente:
- Addetti incaricati al riconoscimento;
Responsabili del trattamento – Ricoprono il ruolo di Responsabili del trattamento le aziende esterne con cui è stato instaurato un rapporto contrattuale e che per adempiere a tali accordi hanno necessità di ricevere i vostri dati personali.
Si intende precisare che il Responsabile sopra indicato non si occupa di evadere le richieste di esercizio dei diritti degli interessati di cui agli artt. 15 e ss. del GDPR. Tale attività è svolta esclusivamente dallo scrivente in qualità di Titolare del trattamento.
Diritti di cui agli articoli 15 e ss. GDPR – Ai sensi dell’art. 15 GDPR Lei ha diritto di ottenere la conferma dell’esistenza o meno di un trattamento di dati personali che La riguardano, anche se non ancora registrati. L’esercizio dei diritti è subordinato all’accertamento dell’identità dell’interessato, mediante consegna del documento di identità, che non verrà conservato dalla scrivente, ma solo consultato al fine della verifica della legittimità della richiesta.
Lei ha il diritto di accedere ai dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- le categorie di dati personali oggetto di trattamento;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato
Qualora i dati siano trasferiti ad un paese terzo o ad una organizzazione internazionale Lei ha diritto di essere informato sull’esistenza di garanzie adeguate ai sensi dell’art. 46 del GDPR.
Lei ha diritto di chiedere al titolare del trattamento la rettifica o la cancellazione, anche parziale, dei dati personali o la limitazione del trattamento dei dati personali che la riguardano o di opporsi, in tutto o in parte, al loro trattamento.
Ai sensi dell’art. 2-undicies del D.Lgs. 196/2003 l’esercizio dei Suoi diritti può essere ritardato, limitato o escluso, con comunicazione motivata e resa senza ritardo, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a) (interessi tutelati in materia di riciclaggio), , e) (allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria) ed f) (alla riservatezza dell’identità del dipendente che segnala illeciti di cui sia venuto a conoscenza in ragione del proprio ufficio). In tali casi, i Suoi diritti possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 dello stesso Decreto. In tale ipotesi, il Garante La informerà di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame nonché della Sua facoltà di proporre ricorso giurisdizionale.
Per esercitare tali diritti potrà rivolgersi alla nostra Struttura “Titolare del trattamento dei dati personali” all’indirizzo email trattamento-dati@giancarlodipietro.it oppure chiamando il numero 0861230033. Il Titolare Le risponderà entro 30 giorni dalla ricezione della Sua richiesta formale.
Le ricordiamo che in caso di violazione dei suoi dati personali potrà proporre un reclamo all’autorità competente: “Garante per la protezione dei dati personali”.
Il TITOLARE DEL TRATTAMENTO