CGU Partner
1 Quadro Legislativo e normativo
La seguente lista rimanda ai principali testi Partner applicabili. Le presenti condizioni di utilizzo presuppongono l’osservanza di tali testi. Questa lista non rimette in questione il diritto applicabile nei confronti dei Fornitori di servizi in funzione del loro status giuridico (principi di Diritto amministrativo e di Diritto privato):
Legge n° 1.483 del 17/12/2019 relativa all’identità digitale oltre che suoi testi applicativi (in corso di pubblicazione).
Legge n° 1.383 del 02/08/2011 per un Principato digitale, modificata, vertente soprattutto sui servizi fiduciari.
Legge n° 1.165 del 23/12/1993 relativa alla protezione delle informazioni nominative, modificata.
Ordinanza Sovrana n° 8.099 del 16 giugno 2020, fissante le condizioni di applicazione della legge n° 1.383 del 2 agosto 2011 per un Principato digitale, modificata, relativa ai servizi fiduciari.
Ordinanza n° 3.413 del 29/08/2011 vertente su vari provvedimenti relativi alla relazione tra l’Amministrazione e l’amministrato, modificata.
Decreto Ministeriale n° 2017-56 del 1° febbraio 2017 in applicazione dell’Ordinanza Sovrana n° 3.413 del 29 agosto 2011 vertente su vari provvedimenti relativi alla relazione tra l’Amministrazione e l’amministrato, modificata.
Politica di sicurezza dei sistemi di Informazione dello Stato
Decreto Ministeriale n° 2020-461 del 6 luglio 2020 in applicazione dell’articolo 13 dell’Ordinanza Sovrana n° 8.099 del 16 giugno 2020, fissante le condizioni di applicazione della legge n° 1.383 del 2 agosto 2011 per un Principato digitale, modificata, relativa ai servizi fiduciari.
Referenziale Generale per la Sicurezza del Principato di Monaco (RGSP) Norme applicabili ai sistemi di informazione dei servizi fiduciari per le transazioni elettroniche (RGSP).
Decreto Ministeriale n° 2020-462 del 6 luglio 2020 in applicazione dell’articolo 36 del Decreto Ministeriale n° 2020-461 del 6 luglio 2020 in applicazione dell’articolo 13 dell’Ordinanza Sovrana n° 8.099 del 16 giugno 2020, fissante le condizioni di applicazione della legge n° 1.383 del 2 agosto 2011 per un Principato digitale, modificata, relativa ai servizi fiduciari.
Specifiche e procedure per i livelli di bassa, significativa ed elevata garanzia dei mezzi di identificazione digitale rilasciati nell’ambito di uno schema di identificazione digitale.
2 Oggetto del presente documento
Le presenti Condizioni Generali di Utilizzo (di seguito designate “CGU”) hanno per oggetto quello di precisare le modalità di utilizzo del sistema di autentificazione MConnect relativamente ai Partner. Il presente documento precisa inoltre i rispettivi doveri e obblighi dei vari attori coinvolti.
MConnect è la soluzione tecnica offerta dal Principato di Monaco per potersi autentificare tramite la propria identità digitale sovrana monegasca e accedere in maniera sicura a servizi online.
Le presenti CGU sono applicabili a tutti i Partner pubblici o privati che offrono servizi online necessitanti un’autentificazione da parte dei propri utenti o clienti, e che richiedono l’uso di MConnect.
Prima di ogni utilizzo di MConnect, il Partner conferma di aver letto e compreso l’integralità delle presenti CGU, impegnandosi a rispettarle.
3 Definizioni
I termini Autentificazione, Identificazione digitale, Mezzo di identificazione digitale, Dati di identificazione personale, rimandano alle definizioni della legge n° 1.383 del 02/08/2011 per un Principato digitale, modificata.
I livelli di identificazione “basso”, “significativo” ed “elevato” dell’identità digitale sono quelli citati all’articolo 3 della legge n° 1.483 del 17/12/2019 relativa all’identità digitale, oltre che suoi testi applicativi (in corso di pubblicazione).
Le parole che iniziano per maiuscola nelle presenti condizioni generali di adesione, hanno il senso di seguito definito:
Amministrazione/DSN: Governo Principesco
DSN: Direzione dei Servizi Digitali
Fornitore di servizi (FS)/Partner: designa l’entità che integra MConnect per accedere ai servizi online offerti.
MConnect: designa la soluzione tecnica di autentificazione offerta dalla Direzione dei Servizi Digitali (DSN), che permette agli utenti di poter attestare la propria identità nell’ambito dei servizi proposti dai Fornitori di servizi e di potervi accedere in maniera sicura. MConnect è presentata sul sito https://mconnect.gouv.mc
Servizi online: designa, ai sensi dell’Ordinanza n° 3.413 del 29/08/2011 vertente su vari provvedimenti relativi alla relazione tra l’Amministrazione e l’amministrato, modificata “[...] qualunque sistema di informazione che permetta agli utenti di poter operare per via digitale, relativamente ad atti o formalità amministrative, oltre che a effettuare pagamenti”. Si tratta di un’entità partner di MConnect che propone uno o più servizi che necessitino l’Identificazione e/o l’Autentificazione online dei propri utenti o clienti.
Utente: designa una persona fisica che si identifica/autentifica su MConnect per poter beneficiare di un Servizio online tra quelli offerti dai vari Partner e di potervi accedere.
4 Contesto generale
4.1 Introduzione
Il Principato di Monaco è coinvolto in un programma di trasformazione digitale maggiore, utile al proprio sviluppo economico e all’esperienza del vivere quotidiano della propria popolazione. A tal titolo, su iniziativa della DITN (Delegazione Interministeriale Incaricata della Transizione Digitale) vengono messi in opera grandi programmi atti a concretizzare la trasformazione del Principato di Monaco. Gli ambiti coinvolti sono principalmente la smart city, l’e-government, l’e-learning, l’e-health e la cyber security.
L’economia digitale richiede che si instauri un clima di fiducia tra i vari attori operanti all’interno dell’ambiente online. La fiducia digitale nel Principato è assicurata soprattutto da un quadro legislativo e da un’infrastruttura tecnica:
• Un quadro legislativo e normativo propizio allo sviluppo della fiducia e degli scambi digitali.
• Una piattaforma di servizi fiduciari, MConnect, che permette di attestare l’identità degli attori economici e della popolazione, garantendo la sicurezza delle transazioni e dei servizi online.
La piattaforma di identità digitale e di servizi fiduciari chiamata M-Road:
• Crea e attribuisce un’identità digitale a qualunque persona di nazionalità monegasca e a qualunque persona titolare di un permesso di soggiorno.
• Gestisce un Registro Nazionale dell’Identità Digitale nel quale saranno centralizzate le identità digitali attribuite dalle autorità di registrazione dei servizi esecutivi statali e municipali.
• Si basa sull’attribuzione dell’identità digitale sovrana, in relazione con il sistema di rilascio dei documenti di identità dotati di procedura di sicurezza: carta d’identità monegasca elettronica a cura del Comune e carta di soggiorno a cura della Direzione di Pubblica Sicurezza.
• Offre servizi fiduciari quali i moduli di autentificazione MConnect presso i Fornitori di servizi pubblici e privati che ne fanno richiesta e che sono stati autorizzati dall’Amministrazione.
4.2 I vantaggi di MConnect
I Partner pubblici e privati beneficiano:
• di un’identificazione certa delle persone, derivata dall’identità digitale sovrana;
• di attributi verificati del Pivot ID: Insieme delle informazioni necessarie per l’identificazione univoca di una persona. Si compone del cognome di nascita, dei nomi, degli pseudonimi, della data/luogo/ora di nascita e del genere;
• di maggiore sicurezza, dal momento che rende impossibile il furto di identità;
• di integrazione facilitata, grazie all’uso di protocolli open source e standard (OIDC);
• di livelli di autentificazione riguardanti i livelli “significativo” ed “elevato”, conformemente al Referenziale Generale per la Sicurezza del Principato di Monaco (RGSP) e alla Legge n° 1.483 del 17/12/2019 relativa all’identità digitale, oltre che suoi testi applicativi (in corso di pubblicazione).
I vantaggi per i Suoi utenti e clienti:
• l’uso di un unico account per poter accedere a tutti i servizi online;
• un accesso facilitato tramite smartphone;
• una maggiore semplicità: l’utente non dovrà più fornire o giustificare la propria identità, dal momento che l’identificazione avverrà grazie al proprio documento di identità.
5 Principi e criteri di eleggibilità
5.1 Sintesi
Le aziende o le associazioni possono integrare MConnect come Partner nel momento in cui propongono servizi online il cui uso necessiti della verifica dell’identità dei propri utenti.
Il servizio è destinato alle strutture monegasche, iscritte nel Registro delle Imprese, o alle associazioni, alle federazioni o ai raggruppamenti del Principato di Monaco.
I Partner si impegnano a:
• Rispettare i prerequisiti tecnici basati sul protocollo Open ID Connect, forniti dall’amministrazione in occasione della loro richiesta di integrazione di MConnect (documento: Manuale per l’integrazione di un servizio online su MConnect).
• Conservare i dati ricevuti nell’ambito di MConnect solamente per la durata della relazione contrattuale con il loro utente.
• Rispettare la legislazione vigente, come la RGSP e i pareri della CCIN (Commissione per il Controllo delle Informazioni Nominative).
• Non commercializzare i dati a carattere personale ottenuti nell’ambito del collegamento a MConnect.
• Lasciare ai propri clienti la possibilità di utilizzare un altro mezzo di autentificazione diverso da MConnect.
• Rispettare i principi enunciati nel presente documento e gli elementi grafici (Pulsante e marchio MConnect).
La Direzione dei Servizi Digitali verificherà e tratterà le richieste di adesione a MConnect. La DSN entrerà in contatto con il responsabile del progetto partner.
Le richieste saranno analizzate dal servizio giuridico della DITN e dal team MConnect, per assicurarsi della pertinenza e della coerenza della pratica del Fornitore di servizi online con uso di procedura di autentificazione MConnect.
I canditati che non saranno in possesso dei requisiti, o le cui pratiche non soddisferanno i criteri di eleggibilità, saranno scartati.
5.2 Ruoli e doveri della Direzione dei Servizi Digitali
La DSN gestisce la piattaforma MConnect e, a tal titolo, si impegna relativamente ai seguenti punti:
• La piattaforma MConnect è stata oggetto di omologazione di sicurezza, effettuata a cura di Fornitori di servizi di Audit appartenenti alla Sicurezza dei Sistemi Informativi (PASSI), qualificata nel Principato di Monaco conformemente al Referenziale Generale per la Sicurezza del Principato di Monaco (RGSP).
• La piattaforma MConnect è stata oggetto di richiesta di parere presso la CCIN (Commissione per il Controllo delle Informazioni Nominative).
• La DSN studia le richieste di integrazione di MConnect assieme agli organismi eleggibili che ne fanno richiesta, fornendo il proprio parere (accettazione o rifiuto).
• Si fa menzione espressa che la DSN potrà rifiutare la richiesta di autorizzazione di qualunque entità che non dovesse rispettare la normativa applicabile alla protezione dei dati personali, tenendo conto, da un lato, del ruolo chiave che occupano i dati di identificazione all’interno di MConnect e, dall'altro lato, delle necessità di sicurezza, compresa la sicurezza pubblica, relative a questa piattaforma. Inoltre, la DSN dovrà essere informata dall’entità richiedente l’autorizzazione sulle sanzioni o condanne di cui essa dovesse essere stata oggetto, a causa della non osservanza della normativa applicabile in materia di protezione dei dati personali e suscettibile di poter avere un impatto sull’uso di MConnect. Se del caso, l’entità richiedente e la DSN si confronteranno, affinché quest’ultima possa determinare le conseguenze di tali sanzioni o condanne relativamente all’autorizzazione della suddetta entità a poter integrare MConnect come Fornitore di servizi.
• La DSN farà del proprio meglio per garantire annualmente una disponibilità del servizio MConnect del 99,5%.
• La DSN potrà effettuare qualunque test, controllo e/o operazione di manutenzione in base a un calendario da essa liberamente stabilito. Per fare in modo che tali operazioni possano causare interruzioni del servizio limitate, esse saranno pianificate preferibilmente in momenti in cui la piattaforma MConnect risulterà meno congestionata. La DSN informerà il Fornitore di servizi tramite mail, prima della data di effettuazione di tali operazioni. La DSN rispetterà un termine di preavviso più o meno lungo, tenendo conto della natura e dell’ampiezza dell’intervento da dover eseguire.
• In caso di malfunzionamento di MConnect la DSN potrà intervenire in qualsiasi momento per gestire il problema nel più breve termine.
• La DSN sarà accessibile durante le ore di apertura del servizio (09:00-12:00/14:00-18:00 giorni feriali) per poter trattare le richieste del Fornitore di servizi.
• La DSN referenzierà il Fornitore di servizi Partner nella lista dei servizi online disponibili su mconnect.gouv.mc.
• L’integrazione di MConnect sui servizi online di uno dei Partner non comporterà alcun compenso finanziario tra la DSN e il Partner stesso.
5.3 Ruoli e doveri del Fornitore di servizi partner
Il Fornitore di servizi che utilizza MConnect si impegna relativamente ai seguenti punti:
• Il Partner utilizza MConnect conformemente alle presenti Condizioni Generali di Utilizzo e ai prerequisiti tecnici (documento: Manuale per l’integrazione di un servizio online su MConnect).
• Nel momento in cui il servizio del Partner deve essere omologato in applicazione della normativa in vigore, tale omologazione costituisce un prerequisito per poter richiedere l’integrazione di MConnect. La decisione di omologazione deve essere comunicata alla DSN. In caso di rinnovo o di variazione dell’ambito del servizio omologato, il Partner trasmetterà alla DSN la nuova autorizzazione all’omologazione. In caso di sospensione o perdita dell’omologazione, il Partner si impegna ad informare al più presto la DSN. La DSN si riserverà quindi il diritto di disattivare il servizio offerto dal Partner.
• Il servizio online dovrà essere conforme alle pratiche e alla richiesta di parere della CCIN.
• Qualunque entità che desideri ottenere l’autorizzazione a integrare il servizio MConnect come Fornitore di servizi, dovrà indicare a quale scopo e per quale servizio saranno trattati i dati di identificazione dell’Utente. Nel caso in cui il Fornitore di servizi intendesse modificare la finalità o il servizio in questione, dovrà effettuare una nuova richiesta di autorizzazione.
• Il Partner definisce autonomamente i dati di identificazione di MConnect da dover utilizzare per poter effettuare il collegamento con gli identificativi “mestieri” dei propri clienti/utenti.
• Il Partner si impegna ad utilizzare i dati ricevuti da MConnect conformemente alla normativa.
• Il Partner si impegna a informare i propri utenti della possibilità di potersi connettere ai suoi servizi tramite MConnect e tramite l’identità digitale monegasca. Il Partner li informa anche del fatto che nel momento in cui dovessero utilizzare MConnect, saranno soggetti alle Condizioni Generali di Utilizzo di quest’ultima, oltre che alle condizioni generali applicabili al servizio online proposto dal Fornitore di servizi. Il Partner dovrà informare di ciò ogni utente e assicurarsi che esso fornisca il proprio consenso.
• Il Partner dovrà assicurarsi che l’uso di MConnect corrisponda agli obblighi legislativi e normativi ai quali è assoggettato per via del proprio statuto o della propria attività.
• Si raccomanda al Partner di adottare tutti i provvedimenti necessari che assicurino la tracciabilità delle azioni in rapporto con il proprio servizio e con i propri utenti e, precisando che è suo dovere conservare tali informazioni, che ciò avvenga per fini probatori o per altri fini.
• Nell’ambito del servizio MConnect, il Partner autorizza la DSN a utilizzare la propria denominazione sociale o commerciale, affinché esso possa essere referenziato nella lista dei Partner.
6 Dati personali
• Nell’ambito del servizio MConnect, la DSN determina autonomamente i mezzi di attuazione del trattamento dei dati personali raccolti a scopo Identificativo/di Autentificazione. Inoltre, la DSN detiene la qualità di responsabile di trattamento, conformemente alle disposizioni della legge n° 1.165 del 23 dicembre 1993 relativa alla protezione delle informazioni nominative.
• Il trattamento si inserisce nell’ambito delle missioni proprie all’Amministrazione. Tale trattamento è giustificato dal concretizzarsi di un interesse legittimo ricercato dall’Amministrazione tramite lo sviluppo di strumenti e procedure digitali, per poter proporre servizi digitali fiduciari che beneficino di un elevato livello di sicurezza e di integrità dei dati stessi, conformemente alla legge n° 1.482 relativa a un Principato Digitale e alla legge n° 1.483 relativa all’identità digitale.
• MConnect trasmetterà al Fornitore di servizi partner le seguenti informazioni costituenti il Pivot ID:
o family_name: Cognome d’uso; given_name:Nomi; birth_name: Cognome di nascita; name: Nome/i + Cognome
o prefered_username: Chiave univoca dell’utente
o birth_datetime: Data e ora di nascita
o birth_place: Luogo di nascita
o gender: Genere
o sub: Identificativo univoco dell’utente autentificato. Il suo valore è dato dalla chiave univoca dell’utente prefissato da un identificativo tecnico.
o Authority: Autorità di registrazione (Comune o DSP) e stato dell’identità digitale (attiva, sospesa o inattiva).
• Il Partner diviene il destinatario dei Dati di identificazione dei propri utenti, dal momento in cui essi accedono al suo servizio tramite MConnect. Acquisisce la qualità di terzo. Determina autonomamente le finalità e i mezzi del o dei trattamenti dei dati personali di cui è destinatario. Inoltre, è responsabile del loro trattamento. In tale qualità si impegna a rispettare la Normativa concernente la protezione dei dati personali e soprattutto a gestire l’esercizio dei diritti dei propri utenti.
• Nel caso in cui il Partner dovesse essere oggetto di sanzioni o di condanna passata in giudicato per la mancata osservanza della Normativa relativa alla protezione dei dati personali e che tale inottemperanza dovesse incidere sul servizio online, esso si impegna a informarne la DSN, affinché quest’ultima possa valutare le conseguenze della sanzione o della condanna sulla permanenza o meno del rapporto tra il Partner e MConnect.
• Ogni parte informerà l’altra relativamente a incidenti inerenti alla sicurezza notificati alle autorità competenti quando tali incidenti dovessero riguardare l’uso di MConnect, in modo da poter adottare adeguati provvedimenti di protezione.
7 Costo del servizio
• La partecipazione a MConnect non comporta alcun compenso finanziario tra la DSN e il Partner stesso.
8 Responsabilità – Esonero
• In applicazione delle presenti condizioni generali, la DSN sarà responsabile dei danni causati intenzionalmente o dovuti a negligenza nei confronti del Fornitore di servizi per motivi di inottemperanza agli obblighi che le competono. Se del caso, potranno essere considerati solo i danni materiali subiti direttamente dal Fornitore di servizi, con esplicita esclusione di ogni eventuale risarcimento di qualunque danno commerciale (del tipo danno alla reputazione, perdita di clientela, ...).
• La DSN non potrà essere ritenuta responsabile in caso di utilizzo di altro mezzo di autentificazione che non sia MConnect.
• Il Partner sarà responsabile di qualunque inottemperanza a esso imputabile nei confronti delle presenti Condizioni Generali di Utilizzo di MConnect. In caso di sua inottemperanza, l’amministrazione procederà con la sospensione o con la disattivazione del suo utilizzo di MConnect.
• In nessun caso la DSN interverrà, in alcun modo, nelle relazioni contrattuali che dovessero essere avviate tra i Partner e i loro clienti autentificati tramite MConnect.
• Tenuto conto della natura giuridica di MConnect, la responsabilità della DSN potrà essere messa in causa solo sulla base dei principi di Diritto amministrativo applicabili ai servizi pubblici amministrativi.
9 Disposizioni generali
9.1 Durata:
Fatto salvo i casi di rescissione indicati di seguito, il Partner aderisce alle presenti Condizioni Generali di Utilizzo di MConnect per una durata a tempo indeterminato.
9.2 Rescissione delle condizioni generali di sospensione o di disattivazione dell’accesso al servizio online
9.2.1 Rescissione da parte del Fornitore di servizi
Il Partner potrà liberamente recedere da MConnect.
Dovrà, in questo caso, notificare la propria decisione tramite mail a: dsn@gouv.mc.
La sua richiesta sarà resa esecutiva alla data specificata nella mail di rescissione o, in mancanza di tale data, dopo due (2) mesi a datare dalla ricezione da parte della DSN della notifica stessa.
Qualunque operazione effettuata durante tale periodo conserverà la propria validità, fermo restando che l’operazione dovrà essere tracciabile in caso di istanza giudiziaria entro i termini legali.
9.2.2 Sospensione o disattivazione da parte della DSN
In caso di inottemperanza da parte del Partner alle presenti Condizioni Generali di Utilizzo, la DSN si riserva il diritto di sospendere o disattivare da MConnect il servizio o i servizi del Fornitore di servizi coinvolto. Tale decisione potrà essere adottata senza dilazione, senza preavviso e senza indennità a beneficio del Partner.
In base alla gravità dell’inottemperanza, la DSN potrà concedere al Partner un termine massimo di quindici (15) giorni a datare dalla notifica inviata dalla DSN stessa, affinché esso possa porre rimedio all’inadempimento notificato. Durante tale termine, l’accesso a MConnect degli utenti del Partner sarà sospeso relativamente al servizio o ai servizi interessati dall’inottemperanza.
Se, trascorso tale termine, il Partner non dovesse aver posto rimedio al proprio inadempimento, il servizio interessato sarà disattivato da MConnect.
In tutti i casi, la DSN potrà sospendere o disattivare in maniera unilaterale il Partner da MConnect per motivi di interesse generale o di pubblica sicurezza. La DSN, tramite il mezzo che reputerà più idoneo, informerà di ciò il Partner il prima possibile. Tale decisione non genererà alcuna indennità a beneficio del Partner
La DSN potrà modificare in qualsiasi momento le presenti Condizioni Generali di Utilizzo, sia che si tratti dell’adeguamento di MConnect a un testo legislativo o normativo, che per altri motivi. Nel caso in cui la modifica delle Condizioni Generali di Utilizzo comporti cambiamenti di MConnect che dovessero impattare sul Partner, saranno applicati ragionevoli termini di preavviso.
9.3 Gestione delle Condizioni Generali di Utilizzo
La DSN, tramite il mezzo che giudicherà più opportuno, comunicherà l’informazione relativa alla modifica delle Condizioni Generali di Utilizzo. Sarà dovere del Partner fare riferimento all’ultima versione delle Condizioni Generali di Utilizzo prima di utilizzare MConnect. Le Condizioni Generali di Utilizzo sono accessibili in ogni momento sul sito https://mconnect.gouv.mc/it/diventare-partner, alla sezione “Diventare Partner”.
9.4 Proprietà intellettuale
I marchi e/o i loghi MConnect di cui è titolare l'Amministrazione e che compaiono su tutti i supporti, sono marchi protetti dalle disposizioni legali applicabili nel Principato di Monaco. Si vieta l’uso di qualsiasi rappresentazione o riproduzione, totale o parziale, di essi, senza l’espressa e preliminare autorizzazione dell’Amministrazione. La trasgressione di tale regola costituisce un’infrazione che espone a sanzioni penali da parte delle Corti e dei Tribunali monegaschi.
9.5 Legge applicabile e risoluzione delle controversie
Le parti concordano espressamente e di comune accordo che sono applicabili solamente la legislazione e la normativa monegasche. In caso di controversia, si impegnano a trovare un accordo in via amichevole. Per fare ciò, sarà organizzato un incontro su iniziativa della parte richiedente. Qualunque accordo raggiunto ai fini della risoluzione della controversia dovrà essere stabilito per iscritto su un documento firmato dai rappresentanti accreditati di entrambe le parti. In caso di controversia relativa all’interpretazione, alla redazione o all’esecuzione del Contratto, e in mancanza di accordo in via amichevole, le parti affidano espressa ed esclusiva competenza ai Tribunali competenti del Principato di Monaco.
9.6 Integralità delle Condizioni Generali di Utilizzo
La richiesta di integrazione del Partner a MConnect comporta da parte sua l’accettazione totale e senza riserve delle Condizioni Generali di Utilizzo applicabili, le quali sono formate dal presente documento, dal contenuto editoriale del sito mconnect.gouv.mc e dal Manuale per l’integrazione di un servizio online su MConnect.