Identità digitale, ecco le critiche del Garante Privacy allo Spid

Sistema Pubblico per la gestione dell’Identità Digitale: il Garante Privacy ha sollevato l’attenzione sui rischi di furto, uso abusivo o alterazione dell’identità degli interessati e del necessario elevato grado di sicurezza che dovrà essere predisposto per i dati e i sistemi

30 Giu 2015
Sarah Ungaro

Avvocato, Vicepresidente ANORC Professioni, Studio Legale Lisi

privacy-141007220756

Con provvedimento del 23 aprile 2015 il Garante privacy ha espresso un parere (richiesto dall’Agenzia per l’Italia Digitale) sullo schema di regolamento – adottato ai sensi del DPCM 24 ottobre 2014 – recante le modalità per l’accreditamento e la vigilanza sui gestori per l’identità digitale.

Il citato DPCM, contenente la definizione delle caratteristiche del Sistema Pubblico per la gestione dell’Identità Digitale, prevede, infatti – all’art. 4, comma 3 – che AgID definisca con un proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio appunto dell’identità digitale, previo parere dell’Autorità Garante.

Il Garante, nel proprio provvedimento, dopo aver effettuato una ricognizione dei punti del regolamento considerati salienti, come i requisiti per l’accreditamento, la presentazione per la domanda con i documenti indispensabili da allegare alla stessa, l’iter istruttorio e il piano di sicurezza, si sofferma sulla particolare importanza dei trattamenti dei dati personali previsti: il Garante ha sollevato l’attenzione sui rischi di furto, uso abusivo o alterazione dell’identità degli interessati e del necessario elevato grado di sicurezza che dovrà essere predisposto per i dati e i sistemi.

Per questi motivi, considerata la complessità della materia trattata, già in fase di redazione dello schema di regolamento gli uffici del Garante avevano avuto modo di confrontarsi con AgID per rilevare le criticità e formulare indicazioni, al fine di rendere le disposizioni pienamente conformi alla disciplina in materia di dati personali.

In particolare, le indicazioni date dall’Ufficio del Garante avevano riguardato:

– un più attento coordinamento con la normativa di settore, in particolare con il DPCM 24 ottobre 2014;

– l’indicazione, tra i soggetti responsabili delle specifiche funzioni individuate dall’Agenzia, del referente per la protezione dei dati personali;

– l’integrazione, nell’ambito dell’attività effettuata da AgID, della collaborazione con il Garante Privacy (ad esempio, in riferimento alla previsione secondo cui AgID informi il Garante di possibili violazioni della normativa in materia di protezione dei dati personali evidenziatesi nel corso della vigilanza);

– il rafforzamento e la razionalizzazione delle misure di protezione dei dati e dei sistemi, al fine di garantire un elevato livello di sicurezza, adeguato all’estrema delicatezza dei trattamenti (in riferimento a tali aspetti, su indicazione del Garante, è stato descritto nel dettaglio il processo di accreditamento e l’attività di vigilanza svolta da AgID nei confronti dei gestori accreditati, nonché i requisiti formativi e curriculari delle figure professionali con responsabilità in attività connesse alla sicurezza, alla conduzione dei sistemi, alle verifiche e ispezioni, alla formazione del personale, alla conservazione dei documenti);

– una descrizione più dettagliata del processo di approvazione delle soluzioni tecnologiche di autenticazione informatica, con particolare riguardo all’individuazione delle diverse fasi, alla documentazione presentata, alle prove tecniche necessarie e all’attività di valutazione posta in capo ad AgID.

Nel regolamento oggetto del parere, tuttavia, il Garante ha voluto, anche in considerazione della delicatezza delle questioni trattate, apportare allo schema alcune ulteriori modifiche, che evidentemente non erano state pienamente recepite nelle fasi preliminari della redazione della bozza di regolamento.

Il Garante, quindi, ha espresso parere favorevole allo schema di regolamento proposto da AgID, ma solo a condizione che vengano apportate alle disposizioni le ulteriori modifiche indicate. In particolare:

– il paragrafo 1 del regolamento deve essere integrato con il requisito di una precipua conoscenza nel settore della protezione dei dati personali da parte del personale dei gestori di identità digitale che intendono conseguire l’accreditamento;

– sempre nel paragrafo 1, deve essere aggiunta una specifica previsione che disponga, per il gestore destinatario di un provvedimento di revoca, l’obbligo di sospendere il servizio di identificazione elettronica entro le successive 12 ore, dandone contestuale comunicazione agli utenti: ciò al fine di minimizzare i rischi di un uso delle identità rilasciate non conforme ai requisiti stabiliti dal DPCM 24 ottobre 2014, i cui effetti potrebbero comportare non solo un potenziale danno ai titolari delle stesse identità, ma anche al livello di fiducia di tutti gli utenti nella sicurezza del sistema SPID;

– ancora al paragrafo 1, è necessario coordinare la previsione secondo cui l’Agenzia “per espletare le attività per l’accreditamento dei gestori e per svolgere le connesse funzioni di vigilanza” possa avvalersi “di apposita struttura, istituita nell’ambito delle proprie dotazioni organiche”, con quanto stabilito nel punto 7 dello stesso regolamento, in cui si stabilisce la possibilità che l’esecuzione delle verifiche ispettive possa essere demandata dall’Agenzia a soggetti terzi;

– nell’ultimo capoverso del paragrafo 7, le parole: “dei regolamenti” devono essere sostituite da: “della normativa”;

– infine, anche nell’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento vengono indicati alcuni punti da sostituire, con l’obiettivo di dare maggiore evidenza alla misure adottate per la protezione dei dati e dei sistemi. In particolare, il Garante indica l’introduzione di una disposizione che comporti, da parte del gestore dell’identità digitale che intende accreditarsi presso AgID, la produzione di copia del piano della sicurezza (cifrato con la chiave pubblica che AgID dovrà rendere disponibile) che evidenzi le idonee misure di sicurezza adottate – ai sensi dell’art. 31 del Codice Privacy – rispetto ai rischi di distruzione e perdita dei dati personali, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di furto, uso abusivo o alterazione di identità, nonché di ripudio o disconoscimento di una transazione;

– sempre relativamente all’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento ad AgID, il garante prescrive – per le medesime finalità di sicurezza – una modifica volta a prevedere la produzione da parte dei gestori di identità digitali di una specifica relazione che descriva i trattamenti di dati personali effettuati, riportandone le informazioni essenziali e le misure di sicurezza messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati e di correttezza del trattamento, nonché l’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica.

All’esito del parere appena reso dal Garante privacy, dunque, previa modifica del testo in base alle sue importanti indicazioni, si attende la definitiva adozione da parte di AgID di questo e degli altri regolamenti sul Sistema Pubblico per la gestione dell’Identità Digitale, in modo che possano finalmente attuarsi le norme già da tempo previste dall’art. 64, commi 2 e ss., del CAD (D.Lgs. 82/2005) e dal più recente DPCM 24 ottobre 2014 sullo SPID.

Risulta fondamentale, tuttavia, ricercare e garantire l’assoluta certezza della corretta associazione tra identità digitale e identità fisica. Questo deve essere considerato un presupposto indefettibile per una corretta realizzazione del Sistema Pubblico di Identità Digitale a cui va prestata grande attenzione.

Inoltre, ai fini della realizzazione di un sistema conforme alla normativa, sicuro e affidabile, il diritto dell’informatica e la sicurezza informatica devono necessariamente recitare un ruolo da protagonisti: per questo i relativi temi devono trovare ampio spazio in tutti i tavoli di lavoro e di confronto per la predisposizione delle norme e dei regolamenti sullo SPID.

Da ultimo, in riferimento alle tempistiche di realizzazione e adeguamento delle infrastrutture informatiche necessarie allo SPID, si segnala che secondo alcune indiscrezioni giornalistiche, dal prossimo ottobre dovrebbero essere disponibili i primi servizi della PA compatibili con il Sistema. Il portale scelto per ospitare il cosiddetto Italia login dovrebbe essere italia.it (già predisposto per il turismo). Lo stanziamento dei fondi – parte di quelli europei 2014-2020 – dovrebbe ammontare a circa 750 milioni di euro, una cifra non di poco conto, che dovrebbe essere sufficiente per rivoluzionare tutti i servizi della PA rendendoli compatibili con Iltalia.it, al fine di raggiungere il tanto agognato accesso unico, da cui il cittadino possa compiere tutte le attività messe a disposizione in rete dalla Pubblica Amministrazione.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3