SERVIZIO DI FIRMA ELETTRONICA AVANZATA
Premesse
Lo STUDIO dott. GENISE FRANCESCO MARIA, commercialista, con sede a Milano via Plinio 1, 20129 (di seguito, anche
“Studio Genise” o “Studio”), nell’ambito di un proprio progetto di dematerializzazione documentale, ha introdotto un
processo informatico che attribuisce in modo univoco una firma elettronica avanzata remota (FEA) (di seguito, anche
“Servizio”) ad una persona fisica utile a sottoscrivere documenti elettronici. I documenti elettronici da firmare mediante il
Servizio sono quelli necessari o utili per l’esecuzione dei servizi che l’Azienda eroga, sulla base di un accordo, all’utilizzatore
della FEA o elaborati nello svolgimento degli stessi, garantendone la medesima validità giuridica ed efficacia probatoria dei
tradizionali documenti cartacei. Dopo la sottoscrizione, il documento elettronico assumerà le caratteristiche informatiche
di integrità e di immodificabilità. I documenti elettronici sottoscritti con FEA integreranno il requisito di forma di cui all’art.
1350 n. 13 del Codice Civile e avranno la stessa efficacia giuridica e probatoria riconosciuta dal nostro ordinamento alle
scritture private (art. 2702 del Codice Civile).
L’adesione al Servizio è completamente gratuita e facoltativa. Nel prosieguo si definisce Firmatario il soggetto che chiede
allo Studio l’erogazione del Servizio.
DESCRIZIONE E CONDIZIONI DI UTILIZZO DEL SERVIZIO
Le soluzioni di FEA devono rispettare le regole tecniche previste dal DPCM 22/02/2013 che all’articolo 56 stabiliscono:
“1. Le soluzioni di firma elettronica avanzata garantiscono:
a) l’identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente
utilizzati per la generazione della firma medesima;
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della
firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a);
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso
rappresentati;
h) la connessione univoca della firma al documento sottoscritto.”
a) L'identificazione del firmatario
del documento;
Il processo di attivazione del Servizio viene avviato dalla società a seguito:
A. del ricevimento da parte dell’Azienda della (i) richiesta di attivazione della
FEA - che deve contenere anche numero di cellulare attivo e indirizzo mail attivob) La connessione univoca della
firma al firmatario
c) Il controllo esclusivo del
firmatario del sistema di
generazione della firma;
del Firmatario - con accettazione, da parte del Firmatario, delle presenti
"Condizioni Generali di Utilizzo del Servizio" che avviene con firma elettronica
semplice attraverso consensi apposti elettronicamente su formulario telematico
(es. check box);
B. dell’identificazione del Firmatario da parte dello Studio, tramite il
ricevimento:
• di una immagine del documento di identità in corso di validità del
Firmatario (scansione o fotografia).
• un numero di cellulare attivo,
• una e-mail attiva.
Per documento d’identità si intende esclusivamente uno dei seguenti documenti
del Firmatario:
• Carta di Identità
• Patente di Guida
• Passaporto
Lo Studio prima dell’avvio della procedura di attivazione effettua l’identificazione
del Firmatario mediante la verifica di un documento di identità in corso di validità
e altre procedure definite dallo Studio oppure tramite riconoscimento web.
La connessione univoca tra firma e Firmatario avviene secondo una o entrambe le
presenti modalità:
• mediante l'accesso alla funzionalità di firma tramite link ricevuto
all'indirizzo email del Firmatario comunicato allo Studio in fase di
riconoscimento e accettazione delle condizioni FEA
• mediante la comunicazione del numero di cellulare a cui verranno inviati
gli OTP per la apposizione della firma. Senza l’apposizione dell’OTP
corretto non è possibile firmare i documenti proposti.
Il Servizio è strutturato per attribuire al Firmatario il controllo esclusivo del sistema
di generazione della firma, in quanto la soluzione consente al Firmatario stesso:
• di avere il controllo completo di quanto a lui mostrato al momento della
firma, in particolare il Firmatario può visionare le parti del documento e
visualizzare i punti ove apporre la FEA
• di detenere il controllo esclusivo del processo, con la garanzia della
connessione univoca dello stesso al documento informatico sottoscritto.
All'atto della sottoscrizione della documentazione, la verifica positiva del codice
OTP immesso dal Firmatario determina la sottoscrizione elettronica del
documento informatico; in tal modo la FEA viene associata in maniera sicura e non
modificabile al documento informatico.d) La possibilità di verificare che il
documento informatico
sottoscritto non abbia subito
modifiche dopo l'apposizione
della firma;
e) La possibilità per il firmatario di
ottenere evidenza di quanto
sottoscritto
f) L'individuazione del soggetto
erogatore delle soluzioni di FEA
g) L'assenza di qualunque
elemento nell'oggetto della
sottoscrizione atto a modificarne
gli atti, fatti o dati nello stesso
rappresentati
h) La connessione univoca della
firma al documento sottoscritto
Senza la apposizione del codice OTP inviato con SMS al numero di cellulare
comunicato dal Firmatario, o con apposizione di OTP non corretto, non è possibile
apporre la FEA sui documenti proposti in firma.
L’invio dell’OTP al cellulare indicato al momento della firma rafforza la connessione
univoca tra firma a Firmatario.
I documenti da sottoscrivere sono prodotti in un formato tale da impedire
l’inserimento all’interno degli stessi di programmi o istruzioni potenzialmente atti
a modificare gli atti, fatti o dati rappresentati nei documenti medesimi.
L'integrità del documento viene garantita dalla apposizione di un certificato
digitale non qualificato “one shot” del Firmatario, all’interno del pdf del attraverso
la creazione di una firma conforme allo standard denominato PAdES.
È previsto, inoltre, l’inserimento del riferimento temporale e della marca
temporale.
Le tecnologie di FEA utilizzate prevedono le impronte informatiche (hash) del
documento informatico da sottoscrivere. La corrispondenza tra un'impronta
ricalcolata e quella "sigillata" all'interno delle firme, permette di verificare che il
documento sottoscritto non abbia subito modifiche dopo l'apposizione della firma.
Il Firmatario prima di firmare i documenti può visualizzarli in ogni parte, a seguito
della apposizione della FEA può effettuare il download di quanto sottoscritto.
È lo Studio.
L’intero processo non è modificabile dallo Studio. I documenti da sottoscrivere
sono prodotti in un formato tale da impedire l’inserimento all’interno degli stessi
di programmi o istruzioni potenzialmente atti a modificare gli atti, fatti o dati
rappresentati nei documenti medesimi.
La connessione univoca avviene mediante l’apposizione del certificato non
qualificato attraverso OTP, inviato con SMS al cellulare del Firmatario, a cui sono
proposti i documenti per la firma. I dati della firma vengono inseriti all’interno del
pdf.Conservazione e copia dell'adesione al servizio
Copia delle presenti “Condizioni Generali di Utilizzo del Servizio” e della dichiarazione di adesione da parte del Firmatario,
effettuata con firma elettronica, viene conservata dall’Azienda, secondo quanto previsto dalla normativa, garantendo,
durante tutto l'arco temporale di conservazione, la disponibilità, l'integrità, la leggibilità e l'autenticità della stessa. Il
Firmatario può in ogni momento richiedere allo Studio una copia delle presenti Condizioni Generali e della dichiarazione di
adesione al Servizio medesimo.
Revoca
Il Firmatario può chiedere copia della documentazione sottoscritta, nonché revocare in ogni momento la propria adesione
al servizio FEA, mediante sottoscrizione di un apposito modulo, disponibile sul sito internet dell’azienda.
Adempimenti a carico dello Studio Professionale
Restano a carico esclusivo dello Studio tutti gli adempimenti e le prescrizioni previste dall’art. 57 del DPCM 22 febbraio
2013.
Trattamento dati personali
Con la sottoscrizione dell’accordo il Firmatario accetta il trattamento dei dati finalizzati all’erogazione del servizio compresa
la registrazione di immagini e suoni finalizzati al riconoscimento del Firmatario. L’informativa al trattamento dei dati
personali prevista dall’art. 13 del Reg UE 2016/679 è presente sul sito www.studiogenise.com nella quale sono previste
anche le modalità per l’esercizio dei diritti degli interessati e i contatti necessari per l’identificazione di tutti i fornitori
erogatori del servizio.
Assicurazione per la responsabilità civile
Secondo quanto previsto dal comma 2 dell'art. 57 del DPCM 22 febbraio 2013, lo Studio si è dotato di una idonea copertura
assicurativa per la responsabilità civile verso terzi.
La presente Nota Informativa, contenente le informazioni relative alle caratteristiche del servizio di firma elettronica
avanzata è pubblicata sul sito dello Studio all’indirizzo www.studiogenise.com essendo così sempre disponibile per la
clientela ed il pubblico in generale.INFORMATIVA
sul trattamento dei dati personali
Articoli 12 e ss. del Regolamento (UE) 2016/679 (GDPR)
Oggetto: informativa sul trattamento dei dati personali ai sensi degli articoli 12 e ss del Regolamento (UE) 2016/679 per la
Firma Elettronica Avanzata
Identificativi del Titolare e, se designati, del Rappresentante nel territorio dello Stato e del Responsabile.
Titolare del trattamento - Titolare del trattamento è lo scrivente: STUDIO GENISE, con sede in Milano via Plinio 1, 20129;
Tel:0229516089; pec: studiogenise@legalmail.it; email: segreteria@studiogenise.it.
Responsabile della protezione dei dati - Il Responsabile della protezione dei dati è il dott. Genise Francesco i cui recapiti
sono sopra indicati.
Premessa - La presente per informarLa, in osservanza della sopraccitata norma, che in relazione al rilascio della Firma
Elettronica Avanzata (FEA), il Titolare del trattamento è in possesso di alcuni dati a Lei relativi, che sono stati acquisiti al fine
dell’erogazione del suddetto servizio.
In ossequio a tale premessa si forniscono le seguenti informazioni:
Dati personali raccolti - Lo scrivente, in qualità di Titolare utilizza i Suoi dati personali per operare al meglio nell’esercizio
della propria attività.
Potranno esserLe richiesti, i seguenti dati:
- dati anagrafici e dati di contatto;
- dati personali non biometrici tramite il modulo di adesione alla FEA;
- dati relativi alle immagini registrate durante il colloquio di identificazione del soggetto firmatario;
- codice fiscale e carta di identità.
Tempi di conservazione dei Suoi dati - I dati raccolti saranno conservati per tutta la durata del rapporto o collaborazione,
in particolare le pratiche relative al riconoscimento sono conservate per 20 anni, i documenti firmati per 10 anni. Qualora
in costanza di rapporto contrattuale siano trattati dati non inerenti agli adempimenti amministrativo contabili ad esso
connessi, tali dati saranno conservati per il tempo necessario al raggiungimento della finalità per cui sono stati raccolti e poi
cancellati. I tempi di conservazione di tali dati Le saranno comunicati quando tali dati saranno raccolti con informative
specifiche.
Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto – Devono essere
obbligatoriamente conferiti allo scrivente i dati essenziali per l’attivazione della FEA, come sopra identificati; come pure i
dati necessari ad adempiere ad obblighi previsti da leggi, regolamenti, normative comunitarie, ovvero da disposizioni di
Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo.Modalità del trattamento – Ai sensi e per gli effetti degli artt. 12 e ss. del GDPR, desideriamo informarLa che i dati personali
da Lei comunicatici saranno trattati in ottemperanza delle misure tecniche e organizzative adeguate di cui all’art. 32 del
GDPR.
Trasferimento di dati personali all’estero - I dati da Lei forniti saranno trattati in Italia o in altro Stato membro della UE.
Qualora in costanza di rapporto contrattuale i Suoi dati siano trattati in uno stato non appartenente all’UE, saranno garantiti
i diritti a Lei attribuiti dalla normativa comunitaria e le verrà data tempestiva comunicazione.
Finalità del trattamento cui sono destinati i dati personali – La finalità del trattamento dei Suoi dati personali che lo
scrivente intende effettuare è quella di consentire il rilascio della Firma Elettronica Avanzata.
Ambito di conoscenza dei Suoi dati - Potranno venire a conoscenza dei Suoi dati le seguenti categorie di soggetti nominati
responsabili o incaricati del trattamento dallo scrivente:
- Addetti incaricati al riconoscimento;
- Zucchetti S.p.a.
Responsabili del trattamento - Ricoprono il ruolo di Responsabili del trattamento le aziende esterne con cui è stato
instaurato un rapporto contrattuale e che per adempiere a tali accordi hanno necessità di ricevere i vostri dati personali.
Si intende precisare che il Responsabile sopra indicato non si occupa di evadere le richieste di esercizio dei diritti degli
interessati di cui agli artt. 15 e ss. del GDPR. Tale attività è svolta esclusivamente dallo scrivente in qualità di Titolare del
trattamento.
Diritti di cui agli articoli 15 e ss. GDPR - Ai sensi dell’art. 15 GDPR Lei ha diritto di ottenere la conferma dell'esistenza o
meno di un trattamento di dati personali che La riguardano, anche se non ancora registrati. L’esercizio dei diritti è
subordinato all’accertamento dell’identità dell’interessato, mediante consegna del documento di identità, che non verrà
conservato dalla scrivente, ma solo consultato al fine della verifica della legittimità della richiesta.
Lei ha il diritto di accedere ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali oggetto di trattamento;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se
destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati
per determinare tale periodo;
e) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e,
almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di
tale trattamento per l'interessato
Qualora i dati siano trasferiti ad un paese terzo o ad una organizzazione internazionale Lei ha diritto di essere informato
sull’esistenza di garanzie adeguate ai sensi dell’art. 46 del GDPR.
Lei ha diritto di chiedere al titolare del trattamento la rettifica o la cancellazione, anche parziale, dei dati personali o la
limitazione del trattamento dei dati personali che la riguardano o di opporsi, in tutto o in parte, al loro trattamento.Ai sensi dell’art. 2-undicies del D.Lgs. 196/2003 l’esercizio dei Suoi diritti può essere ritardato, limitato o escluso, con
comunicazione motivata e resa senza ritardo, a meno che la comunicazione possa compromettere la finalità della
limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti
fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a)
(interessi tutelati in materia di riciclaggio), , e) (allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in
sede giudiziaria) ed f) (alla riservatezza dell’identità del dipendente che segnala illeciti di cui sia venuto a conoscenza in
ragione del proprio ufficio). In tali casi, i Suoi diritti possono essere esercitati anche tramite il Garante con le modalità di cui
all’articolo 160 dello stesso Decreto. In tale ipotesi, il Garante La informerà di aver eseguito tutte le verifiche necessarie o
di aver svolto un riesame nonché della Sua facoltà di proporre ricorso giurisdizionale.
Per esercitare tali diritti potrà rivolgersi alla nostra Struttura “Titolare del trattamento dei dati personali” all’indirizzo
segreteria@studiogenise.it oppure chiamando il numero 0229516089 od inviando una missiva a STUDIO GENISE, via Plinio
1 – 20129 - Milano. Il Titolare Le risponderà entro 30 giorni dalla ricezione della Sua richiesta formale.
Le ricordiamo che in caso di violazione dei suoi dati personali potrà proporre un reclamo all’autorità competente: “Garante
per la protezione dei dati personali”.
Il TITOLARE
DEL TRATTAMENTO