Diventa possibile fare Spid anche ai minorenni, con l’adozione a marzo delle linee guida Agid “spid ai minori”.
Tutto questo mentre non è risolta una divergenza con il Garante privacy, intervenuto con parere del 2 febbraio scorso sul tema di Spid e minori, individuando i punti su cui AgID deve intervenire per affrontare e superare i rischi specifici che coinvolgono il trattamento dati relativo all’attivazione dell’identità digitale rivolta ai minori, così da mitigarli.
Le linee guida Agid su Spid e minori
Le linee guida che AgID ha predisposto per la fruizione dei servizi SPID da parte dei minori infra ed ultraquattordicenni consentono ai primi di accedere a determinati servizi online forniti dalle istituzioni scolastiche ed ai secondi di accedere a tutti i servizi ai quali possano accedere direttamente (e non per il tramite dei genitori).
La suddivisione per fasce di età dei permessi SPID unita all’apertura dell’utilizzo di questo sistema di autenticazione ai portali privati renderà poi SPID uno strumento molto prezioso per tutti quei fornitori di servizi da precludere a certe fasce di età (es. social network ma pensiamo anche ad esempio ad una rivendita di vini online) per consentire di individuare quali utenti sono davvero ultraquattordicenni o ultradiciottenni e quali no.
SPID (Sistema Pubblico di Identità Digitale), cos’è, a cosa serve e come creare un account
Come fare SPID ai minori
Bisogna per prima cosa trovare un fornitore Spid che offra Spid ai minori.
La richiesta dello SPID per i minorenni è effettuata da uno dei genitori che potrà accedere presso uno dei vari “identity provider” e richiedere l’emissione dello SPID per il proprio figlio autocertificando:
- “la propria qualità di esercente la responsabilità genitoriale sul minore”,
- “di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore”.
A questo punto l’”identity provider” fornisce al genitore un “codice genitore” e un “codice di verifica”. Questo codice di verifica servirà al minore per accedere alla procedura di identificazione.
Le Linee guida prescrivono che se l’identificazione è effettuata de visu (sia in presenza che da remoto) il minore infraquattordicenne deve essere affiancato da un genitore.
A quel punto lo SPID per minorenni prevede due possibili scenari:
- nel primo caso è il minore che accede al servizio direttamente (è al fornitore del servizio che è lasciata questa delicata valutazione, con significative ricadute anche dal punto di vista privacy con il soggetto che presta il consenso al trattamento ed è destinatario dell’informativa che è il minore stesso in questo caso);
- Nel secondo caso il minore accede al servizio previa autorizzazione del genitore (il sistema invia una notifica push al genitore affinché possa prestare l’autorizzazione entro 24 ore). Dal punto di vista privacy questa attività comporta comunque la raccolta del consenso al trattamento in capo al minore se questo è ultraquattordicenne, mentre impone la raccolta del consenso da parte del genitore in caso di minore infraquattordicenne.
É interessante notare che se il genitore concede l’autorizzazione all’accesso ad un servizio, il minore non deve nuovamente chiedere l’autorizzazione per i successivi accessi, questo salvo il genitore ponga un limite temporale all’autorizzazione o l’identità SPID del genitore venga meno per qualsiasi ragione.
Raggiunta la maggiore età il gestore dell’identità invia una comunicazione al minore per chiedere se vuole mantenere la propria identità SPID attiva, eliminando in ogni caso la “connessione” fra questa identità e quella del genitore.
Il sistema non sembra invece concepito per l’accesso e/o autorizzazione da parte di entrambi i genitori, soluzione che forse avrebbe potuto essere utile in taluni casi, se non altro per consentire una “condivisione” fra gli esercenti la patria potestà delle decisioni sul punto. Stando alle linee guida non pare nemmeno possibile che due genitori attivino uno SPID presso il medesimo identity provider “connesso” ad entrambi i loro profili, resta invece possibile creare due identità SPID separate presso distinti identity provider, una “autorizzabile” da un genitore e una dall’altro.
Informativa chiara, no cellulare per il minore
Le linee guida AGID prescrivono poi in particolare che il minore non debba fornire un cellulare e si debba avere una informativa particolarmente chiara e semplice.
Le comunicazioni di sicurezza andranno sul cellulare del genitore.
Le misure prescritte dal Garante privacy per spid e minori
SPID è l’identità digitale al centro del processo di digitalizzazione del rapporto fra cittadini e pubbliche amministrazioni italiane e il Governo ha interesse che i giovani familiarizzano fin da minorenni con questa nuova tecnologia che fa da credenziale unica e modulabile a seconda della tipologia di servizio per tutti gli accessi autenticati del settore pubblico. Tuttavia è fondamentale una cautela privacy extra, quando si tratta di minori.
La prima considerazione di carattere generale che formula il Garante è quella di distinguere le cautele da adottare con riguardo al percorso per l’attivazione di SPID da parte dei minorenni infraquattordicenni e con riguardo al percorso rivolto invece ai minorenni ultraquattordicenni.
Ulteriore considerazione critica del Garante è la scelta del governo di puntare contemporaneamente in due distinte direzioni per garantire accesso ai servizi della PA, da un lato abbiamo appunto SPID, ma dall’altro abbiamo la Carta d’Identità Elettronica che possiede ora funzioni evolute in parte sovrapponibili con quelle di SPID.
É chiaro che una simile duplicazione dei trattamenti di dati personali da parte ministeriale stride con il principio di minimizzazione prescritto dal GDPR, ed è per questo motivo che il Garante è particolarmente rigoroso nella sua analisi.
Particolare rilievo assume poi l’informativa privacy che, essendo rivolta a minori, per espressa disposizione del GDPR deve essere particolarmente semplice e chiara.
L’Autorità dà quindi corso ad una approfondita analisi dello schema di linee guida e richiede in particolare che l’individuazione del soggetto esercente la responsabilità sul minore che richiede SPID non sia lasciata ad una mera autocertificazione, dando invece corso ad opportuni accertamenti (in effetti facili da approntare) che evitino trattamenti di dati illegittimi o ostensioni di dati frutto di errori o sviste da parte del genitore.
Stesso trattamento dev’essere poi riservato alla verifica dell’esistenza ed identità del genitore delegante, facendo attestare allo stesso l’effettiva volontà di delega.
Il Garante prosegue chiedendo che AgID precisi nelle linee guida le modalità di identificazione del minore da parte degli identity provider, specie con riguardo alla fase di acquisizione e conservazione del suo documento di identità.
Maggiore chiarezza è poi richiesta con riguardo al passaggio del minore alla maggiore età, momento in cui l’ormai ex minorenne deve essere messo nelle condizioni di manifestare espressamente la propria volontà di mantenere o revocare la propria identità digitale SPID (con sospensione e successiva cancellazione dell’identità in caso di omesso riscontro da parte del titolare dell’identità).
Il Garante ha chiesto infine che nelle linee guida sia chiarito che i “service provider dovranno impegnarsi a valutare quali siano i servizi da offrire direttamente ai minori e le garanzie da assicurare in ragione delle caratteristiche degli stessi”.
Il Garante richiede poi una revisione della Valutazione di Impatto alla luce di quanto osservato e infine prescrive un’opportuna attività di “follow-up” all’adozione delle linee guida, con AgID che dovrà trasmettere all’autorità privacy una compiuta relazione sull’utilizzo di SPID per i minori, indicando quali sono i servizi offerti e quali sono i numeri delle identità rilasciate, nonché le eventuali criticità rilevate e le misure individuate per porvi rimedio.
Lo SPID per gli infra quattordicenni
L’utilizzo di SPID per gli infra quattordicenni è il punto al quale il Garante ha riservato il suo intervento più deciso, di fatto consentendo unicamente un periodo di sperimentazione fino al 30 giugno 2023 e limitato ai servizi online offerti dalle scuole (es. registro elettronico).
Alla natura sperimentale dell’accesso a SPID per gli infra quattordicenni consegue che agli utenti dovrà comunque essere garantito accesso ai servizi oggetto di sperimentazione anche con le precedenti modalità già in uso.
Gli infra quattordicenni che potranno accedere a SPID in questa fase saranno comunque solo quelli compresi nella fascia di età da 5 a 14 anni (scelta direttamente connessa con la finalità di utilizzo di SPID proprio per accedere a servizi online forniti dalle scuole) e l’apertura della sperimentazione è comunque subordinata ad una puntuale revisione delle linee guida che individui sulla base di un’apposita valutazione di impatto, i rischi specifici connessi con l’accesso all’identità SPID da parte dei minori infra quattordicenni, individuando a monte per quali servizi questa identità verrà attivata.