L'autorità amministrativa che esternalizza l'elaborazione di dati o la gestione di soluzioni informatiche rimane responsabile per il rispetto dei requisiti posti alla protezione e alla sicurezza dei dati.

Se l'esternalizzazione coinvolge più autorità, deve essere designata un'autorità che funga da responsabile principale.

Servizi esistenti tramite internet possono continuare a essere forniti nella loro forma attuale. Essi devono essere offerti anche tramite il portale di e-government, nella misura in cui ciò sia sensato e fattibile dal punto di vista tecnico.

L'unità di gestione per l'amministrazione digitale è l'unità amministrativa competente per l'esercizio amministrativo del portale di e-government e per i relativi servizi di base.

L'Ufficio d'informatica è l'unità amministrativa competente per l'informatica.

L'apertura di un eConto avviene tramite un modulo elettronico.

Per l'apertura di un eConto devono essere indicati almeno i dati dell'account conformemente all'articolo 17 capoverso 1 lettera a - lettera e della legge sull'amministrazione digitale[2].

Ogni utente può disporre di un solo eConto.

Al momento dell'apertura dell'account, ai fini di un controllo relativo all'esistenza di eventuali doppioni i dati inseriti vengono confrontati con i dati di account esistenti.

Se dal confronto risulta un eConto esistente, quest'ultimo può continuare a essere utilizzato o essere riattivato. Ciò non vale se l'account è stato bloccato dall'autorità competente conformemente all'articolo 16 capoverso 2 lettera a della legge sull'amministrazione digitale[3].

Gli utenti devono essere informati tempestivamente e in modo adeguato in merito ai loro diritti e doveri sia al momento dell'apertura dell'eConto sia dopo ogni modifica dei diritti e dei doveri.

Gli utenti devono dare il loro consenso ai diritti e ai doveri sia al momento dell'apertura dell'eConto sia dopo ogni modifica dei diritti e dei doveri. L'utilizzo dell'eConto può essere limitato finché non viene dato il consenso alle disposizioni modificate.

Il consenso deve essere registrato in modo adeguato dall'unità amministrativa competente per l'informatica.

L'entità del potere di rappresentanza deve essere definita chiaramente, in particolare in relazione ai servizi interessati.

Il rapporto di rappresentanza può essere revocato in ogni momento da ciascuna delle parti.

Per poter usufruire di servizi, le persone giuridiche devono essere registrate una volta nel sistema e gli utenti delegati devono essere designati.

Nel quadro della registrazione almeno un utente viene indicato come rappresentante dell'impresa.

L'autorità specializzata può richiedere ulteriori prove del potere di rappresentanza. Le autorità specializzate devono rendere note agli utenti queste prescrizioni in modo adeguato.

Le persone giuridiche con un numero d'identificazione delle imprese (numero IDI) conformemente alla legge federale sul numero d'identificazione delle imprese[4] (unità IDI) richiedono la registrazione di un utente tramite l'eConto indicando il nome della ditta e il numero IDI.

Una volta presentata la richiesta, un codice di attivazione viene inviato a destinazione della direzione all'indirizzo della sede dell'unità IDI figurante nel registro IDI della Confederazione.

Inserendo il codice di attivazione tramite l'eConto dell'utente indicato a tale scopo l'unità IDI viene attivata e la persona corrispondente viene delegata a rappresentare l'impresa.

In caso di persone giuridiche senza numero IDI il codice di attivazione viene inviato all'indirizzo indicato dall'utente. I servizi di determinati livelli di fiducia possono essere esclusi dall'utilizzo da parte di persone giuridiche senza numero IDI.

Il rappresentante dell'impresa può delegare altri utenti a usufruire di servizi.

Il rappresentante dell'impresa è responsabile per la tenuta a giorno degli utenti delegati. Il sistema lo invita regolarmente a verificare le deleghe rilasciate.

L'eConto degli utenti delegati all'utilizzo di servizi deve presentare il livello di fiducia necessario per il servizio.

Nel suo eConto, l'utente può disporre in qualsiasi momento la disattivazione del proprio eConto senza indicare le ragioni.

Un'autorità può disporre una disattivazione o una limitazione se sono soddisfatti i presupposti di cui all'articolo 16 capoverso 2 della legge sull'amministrazione digitale[5].

Si è in presenza di un abuso dell'eConto tramite l'account di un utente in particolare se l'utente ha violato i diritti e i doveri o in caso di indizi di compromissione dell'eConto da parte di terzi.

La disattivazione o la limitazione deve essere comunicata all'utente all'indirizzo e-mail registrato nel sistema.

L'utente può chiedere all'autorità la riattivazione dell'account o la soppressione della limitazione. L'autorità può respingere la domanda se una persona ha violato in modo ripetuto o grave i diritti e i doveri o se il pericolo di una compromissione non è ancora stato eliminato.

La persona interessata può richiedere all'unità amministrativa competente conformemente all'articolo 5 l'emanazione di una decisione scritta relativa al rifiuto.

La disattivazione o la limitazione comporta l'impossibilità di accedere ai dati salvati nel portale e associati all'eConto. L'utente è responsabile in prima persona del previo salvataggio dei propri dati.

Se al momento della disattivazione o della limitazione l'utente è parte di un procedimento in corso il quale, conformemente alle disposizioni della legge sulla giustizia amministrativa[6], viene condotto tramite il portale di e-government quale sistema di trasmissione, gli ulteriori atti procedurali devono essere eseguiti in forma cartacea.

I requisiti per l'ottenimento di un livello di fiducia si conformano al modello di qualità per l'autenticazione di soggetti (standard eCH-0170).

L'unità amministrativa competente definisce i processi di identificazione e gli uffici di identificazione e deve pubblicare le prescrizioni per ogni livello di fiducia.

La comprova dell'avvenuto processo di identificazione può essere salvata nell'eConto.

L'associazione di un eConto a un'applicazione specifica viene creata se i dati dell'account corrispondono ai relativi dati nell'applicazione specifica. A seconda del livello di fiducia può essere richiesto l'inserimento di ulteriori dati noti all'utente.

Se dei dati dell'account non sono stati salvati in un'applicazione specifica, essi possono essere messi a disposizione dell'applicazione specifica con il consenso dell'utente.

Durante l'associazione, i dati personali registrati nelle applicazioni specifiche vengono salvati provvisoriamente nell'eConto.

Se l'associazione ha successo, il numero di identificazione dell'utente registrato nell'applicazione specifica viene salvato permanentemente nell'eConto.

Con il consenso dell'utente i dati registrati nel mezzo di identificazione elettronica riconosciuto vengono salvati nell'eConto.

L'unità amministrativa competente per l'informatica definisce, nel rispetto delle direttive del diritto federale, i livelli di fiducia che i mezzi di identificazione elettronica soddisfano.

I dati salvati comprendono le informazioni relative all'utente che effettua l'accesso, al momento dell'accesso e al tipo di operazioni effettuate.

I protocolli possono essere presi in visione e controllati da una cerchia di persone limitata.

I dati salvati vengono cancellati dopo dodici mesi. Sono fatti salvi termini di conservazione diversi previsti dalla legislazione speciale applicabile.

L'unità amministrativa competente può incaricare terzi di elaborare dati in relazione all'eConto, segnatamente di svolgere il processo di identificazione e di garantire il supporto agli utenti.

Accordi esistenti, condizioni o patti stabiliti in un altro modo adeguato in relazione all'esternalizzazione rimangono validi fino alla loro scadenza. In caso di eventuale rinnovo devono essere adeguati alle disposizioni della presente ordinanza.