Salve, da regolamento tecnico SPID leggo quanto segue:
Il comma 2 dell’articolo 13 del DPCM obbliga i fornitori di servizi (Service Provider) alla conservazione per ventiquattro mesi delle informazioni necessarie a imputare alle singole identità digitali le operazioni effettuate sui propri sistemi.
Volevo sapere se questa regola si applica sempre, oppure nel caso si passi attraverso un soggetto aggregatore, i log sono raccolti dall’aggregatore stesso?
Nel regolamento si fa riferimento ai service provider, quindi indipendentemente dal fatto che siano intermediati.
Gli aggregatori hanno, poi, l’obbligo di log anche dal loro lato.
grazie @cfranc0 , pensavo che in caso di utilizzo di un aggregatore venisse meno l’obbligo da parte del service provider e che fosse invece in carico al servizio stesso.
L’aggregatore svolge il ruolo del service provider per conto degli aggregati, per cui mi pare naturale che sia l’aggregatore a mantenere i log. Se poi la richiesta viene fatta all’aggregato questo può sempre chiederli all’aggregatore e poi fornirli.
Poi dipenderà dagli accordi contrattuali tra aggregatore ed aggregato.