Art. 32
              Obblighi del titolare e del certificatore

  1. Il titolare del certificato di firma e' tenuto ad adottare tutte
le  misure  organizzative e tecniche idonee ad evitare danno ad altri
ed  a custodire e utilizzare il dispositivo di firma con la diligenza
del buon padre di famiglia.
  2.   Il  certificatore  e'  tenuto  ad  adottare  tutte  le  misure
organizzative  e  tecniche  idonee  ad  evitare  danno  ad altri, ivi
incluso il titolare del certificato.
  3.  Il  certificatore  che  rilascia,  ai  sensi  dell'articolo 19,
certificati qualificati deve inoltre:
    a) provvedere con certezza alla identificazione della persona che
fa richiesta della certificazione;
    b)  rilasciare  e rendere pubblico il certificato elettronico nei
modi  o  nei casi stabiliti dalle regole tecniche di cui all'articolo
71,  nel  rispetto  del decreto legislativo 30 giugno 2003, n. 196, e
successive modificazioni;
    c)   specificare,   nel   certificato  qualificato  su  richiesta
dell'istante,  e  con  il consenso del terzo interessato, i poteri di
rappresentanza  o altri titoli relativi all'attivita' professionale o
a  cariche rivestite, previa verifica della documentazione presentata
dal richiedente che attesta la sussistenza degli stessi;
    d) attenersi alle regole tecniche di cui all'articolo 71;
    e)  informare  i  richiedenti  in  modo  compiuto e chiaro, sulla
procedura  di  certificazione  e  sui necessari requisiti tecnici per
accedervi  e  sulle  caratteristiche  e sulle limitazioni d'uso delle
firme emesse sulla base del servizio di certificazione;
    f)  non rendersi depositario di dati per la creazione della firma
del titolare;
    g)  procedere  alla tempestiva pubblicazione della revoca e della
sospensione del certificato elettronico in caso di richiesta da parte
del  titolare  o  del  terzo dal quale derivino i poteri del titolare
medesimo,   di  perdita  del  possesso  o  della  compromissione  del
dispositivo   di   firma,   di   provvedimento   dell'autorita',   di
acquisizione della conoscenza di cause limitative della capacita' del
titolare, di sospetti abusi o falsificazioni, secondo quanto previsto
dalle regole tecniche di cui all'articolo 71;
    h)  garantire un servizio di revoca e sospensione dei certificati
elettronici  sicuro  e  tempestivo nonche' garantire il funzionamento
efficiente,  puntuale e sicuro degli elenchi dei certificati di firma
emessi, sospesi e revocati;
    i)  assicurare la precisa determinazione della data e dell'ora di
rilascio, di revoca e di sospensione dei certificati elettronici;
    j)   tenere   registrazione,   anche  elettronica,  di  tutte  le
informazioni  relative  al  certificato qualificato dal momento della
sua  emissione  almeno  per dieci anni anche al fine di fornire prova
della certificazione in eventuali procedimenti giudiziari;
    k)  non  copiare,  ne' conservare, le chiavi private di firma del
soggetto   cui   il   certificatore   ha   fornito   il  servizio  di
certificazione;
    l)  predisporre  su  mezzi  di  comunicazione  durevoli  tutte le
informazioni   utili  ai  soggetti  che  richiedono  il  servizio  di
certificazione,   tra   cui  in  particolare  gli  esatti  termini  e
condizioni   relative   all'uso   del   certificato,   compresa  ogni
limitazione  dell'uso,  l'esistenza  di  un sistema di accreditamento
facoltativo  e  le  procedure  di  reclamo  e  di  risoluzione  delle
controversie;   dette  informazioni,  che  possono  essere  trasmesse
elettronicamente,  devono  essere  scritte  in  linguaggio  chiaro ed
essere  fornite  prima dell'accordo tra il richiedente il servizio ed
il certificatore;
    m) utilizzare sistemi affidabili per la gestione del registro dei
certificati  con  modalita' tali da garantire che soltanto le persone
autorizzate   possano   effettuare   inserimenti   e  modifiche,  che
l'autenticita' delle informazioni sia verificabile, che i certificati
siano  accessibili  alla consultazione del pubblico soltanto nei casi
consentiti  dal  titolare  del  certificato  e  che l'operatore possa
rendersi  conto  di  qualsiasi  evento che comprometta i requisiti di
sicurezza.  Su  richiesta,  elementi  pertinenti  delle  informazioni
possono  essere resi accessibili a terzi che facciano affidamento sul
certificato.
  4.   Il  certificatore  e'  responsabile  dell'identificazione  del
soggetto  che  richiede  il certificato qualificato di firma anche se
tale attivita' e' delegata a terzi.
  5.  Il  certificatore  raccoglie i dati personali solo direttamente
dalla  persona  cui si riferiscono o previo suo esplicito consenso, e
soltanto  nella  misura  necessaria al rilascio e al mantenimento del
certificato,  fornendo  l'informativa  prevista  dall'articolo 13 del
decreto legislativo 30 giugno 2003, n. 196. I dati non possono essere
raccolti o elaborati per fini diversi senza l'espresso consenso della
persona cui si riferiscono.
 
          Note all'art. 32:
              - Si   riporta   il  testo  dell'art.  13  del  decreto
          legislativo 30 giugno 2003, n. 196):
              "Art. 13 (Informativa). - 1. L'interessato o la persona
          presso  la  quale  sono  raccolti  i  dati  personali  sono
          previamente informati oralmente o per iscritto circa:
                a) le  finalita'  e  le modalita' del trattamento cui
          sono destinati i dati;
                b) la   natura   obbligatoria   o   facoltativa   del
          conferimento dei dati;
                c) le   conseguenze   di   un  eventuale  rifiuto  di
          rispondere;
                d) i  soggetti  o le categorie di soggetti ai quali i
          dati  personali  possono  essere  comunicati  o che possono
          venirne   a   conoscenza  in  qualita'  di  responsabili  o
          incaricati, e l'ambito di diffusione dei dati medesimi;
                e) i diritti di cui all'art. 7;
                f) gli  estremi  identificativi  del  titolare  e, se
          designati, del rappresentante nel territorio dello Stato ai
          sensi dell'art. 5 e del responsabile. Quando il titolare ha
          designato piu' responsabili e' indicato almeno uno di essi,
          indicando   il  sito  della  rete  di  comunicazione  o  le
          modalita'  attraverso  le  quali  e'  conoscibile  in  modo
          agevole  l'elenco  aggiornato  dei  responsabili. Quando e'
          stato   designato   un   responsabile   per   il  riscontro
          all'interessato  in  caso  di  esercizio dei diritti di cui
          all'art. 7, e' indicato tale responsabile.
              2.  L'informativa  di cui al comma 1 contiene anche gli
          elementi  previsti  da specifiche disposizioni del presente
          codice  e  puo' non comprendere gli elementi gia' noti alla
          persona  che  fornisce  i  dati  o  la  cui conoscenza puo'
          ostacolare  in  concreto  l'espletamento,  da  parte  di un
          soggetto  pubblico,  di  funzioni  ispettive o di controllo
          svolte  per  finalita'  di  difesa  o sicurezza dello Stato
          oppure di prevenzione, accertamento o repressione di reati.
              3.    Il   Garante   puo'   individuare   con   proprio
          provvedimento   modalita'  semplificate  per  l'informativa
          fornita in particolare da ser aizi telefonici di assistenza
          e informazione al pubblico.
              4.  Se  i  dati  personali  non  sono  raccolti  presso
          l'interessato, l'informativa di cui al comma 1, comprensiva
          delle  categorie  di  dati  trattati,  e'  data al medesimo
          interessato all'atto della registrazione dei dati o, quando
          e'  prevista  la  loro  comunicazione,  non  oltre la prima
          comunicazione.
              5.  La  disposizione  di  cui al comma 4 non si applica
          quando:
                a) i  dati  sono  trattati  in  base  ad  un  obbligo
          previsto  dalla  legge, da un regolamento o dalla normativa
          comunitaria;
                b) i  dati  sono  trattati  ai fini dello svolgimento
          delle investigazioni difensive di cui alla legge 7 dicembre
          2000,  n.  397,  o, comunque, per far valere o difendere un
          diritto  in  sede  giudiziaria,  sempre  che  i  dati siano
          trattati esclusivamente per tali finalita' e per il periodo
          strettamente necessario al loro perseguimento;
                c) l'informativa  all'interessato comporta un impiego
          di  mezzi  che  il  Garante,  prescrivendo eventuali misure
          appropriate,    dichiari    manifestamente   sproporzionati
          rispetto  al diritto tutelato, ovvero si riveli, a giudizio
          del Garante, impossibile.".