Il fatto
Nel parere oggetto di commento, l’Agenzia Italiana per il Digitale (AGID) ha richiesto al Garante per la protezione dei dati personali di valutare la conformità rispetto alla normativa privacy di due proposte di modifica, rispettivamente, del regolamento contenente le modalità con cui realizzare il sistema SPID (cioè l’identità digitale) e del relativo disciplinare volto ad individuare una nuova modalità con cui identificare i soggetti che richiedono l’identità digitale.
In particolare, il codice dell’amministrazione digitale ha previsto l’istituzione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (c.d. SPID) ed il successivo decreto del presidente del consiglio dei ministri ne ha determinato le caratteristiche nonché i tempi e le modalità della sua adozione da parte delle pubbliche amministrazioni e delle imprese, attribuendo all’AGID il compito di adottare dei regolamenti idonei a permettere l’applicazione del sistema SPID. In virtù dei suddetti poteri, l’agenzia, nel 2015, ha emanato i regolamenti con cui sono state individuate le regole tecniche e le modalità per realizzare il sistema SPID, individuare le modalità con cui accreditare i soggetti che possono rilasciare l’identità digitale nonché individuare le procedure idonee a consentire ai gestori di rilasciare identità digitale attraverso l’uso di sistemi di identificazione informatica dei richiedenti.
L’Agid ha ritenuto di dover introdurre delle nuove procedure per permettere ai soggetti gestori di rilasciare da remoto l’identità digitale in maniera più semplice, rispetto a quanto previsto fino ad oggi, in modo che – attraverso detta semplificazione – possa ampliarsi la platea delle persone che richiedono ed ottengano il rilascio dell’identità digitale.
In ragione di ciò, l’AGID ha quindi richiesto al Garante privacy il proprio parere sulle due modifiche che intende apportare.
Il parere del Garante
Il Garante per la protezione dei dati personali ha analizzato il primo schema di determina del Direttore generale dell’agenzia con cui quest’ultima intende modificare il Regolamento che individua le modalità per realizzare il sistema SPID ed in particolare intende modificare l’articolo dedicato all’identificazione a vista da remoto. Detto schema di determina attribuisce a delle determinazioni del Direttore generale dell’AGID la facoltà di prevedere delle procedure ulteriori per l’identificazione a vista da remoto dei richiedenti, previo il parere del garante per la protezione dei dati personali. In altri termini, attraverso la modifica proposta si vuole attribuire al Direttore Generale dell’AGID il potere di introdurre delle nuove procedure di identificazione da remoto di coloro i quali richiedono l’identità digitale.
Con il secondo schema di determina, invece, l’agenzia vorrebbe introdurre una nuova modalità per permettere alle società che gestiscono il rilascio dell’identità digitale di identificare da remoto i soggetti che richiedono l’identità digitale attraverso la registrazione di un audio e video rivolto direttamente alla società che gestisce il rilascio dell’identità digitale, associata all’effettuazione di un bonifico bancario da parte del richiedente l’identità digitale.
Il profilo di criticità relativo alla suddetta modalità di identificazione degli interessati, riguarda il fatto che l’identificazione viene effettuata da remoto e non prevede la contestuale presenza del richiedente l’identità e dell’operatore che deve effettuare la verifica del richiedente e poi autorizzare il rilascio dello SPID. L’operatore, invece, effettua il controllo della richiesta e dei dati ivi contenuti soltanto in un secondo momento rispetto alla richiesta. In particolare, il funzionamento della nuova modalità di identificazione del richiedente si compone di quattro diversi passaggi:
- in primo luogo, il soggetto che intende richiedere l’identità SPID deve eseguire una registrazione on-line, fornendo una serie di dati personali e le credenziali per l’identificazione di primo livello;
- in secondo luogo, il richiedente deve effettuare una sessione audio e video dove deve confermare i dati che aveva inserito in sede di registrazione nonché la data e l’ora della stessa e deve altresì mostrare un documento di identificazione personale e il codice fiscale e infine dichiarare di voler attivare lo SPID;
- in terzo luogo, il richiedente deve effettuare un bonifico attraverso un conto corrente italiano a lui intestato (o cointestato) e indicare come causale dello stesso un codice specifico che il richiedente ha ottenuto in precedenza dal gestore stesso (in tal modo è possibile correlare il bonifico alla richiesta di rilascio dello SPID);
- successivamente, un operatore del gestore che deve rilasciare lo SPID visiona il file audio e video registrato dal richiedente sulla piattaforma e effettua tutte le verifiche necessarie al rilascio dello SPID.
Il garante per la protezione dei dati personali ha ritenuto che lo schema per la modifica del regolamento in cui sono previste le modalità di attuazione dello SPID con cui si autorizza il direttore generale a introdurre nuove modalità di identificazione da remoto dei richiedenti, è conforme alla normativa in materia di protezione dei dati personali, a condizione che ogni delibera che viene adottata dall’agenzia per attuare la nuova disposizione venga sempre allegata al regolamento stesso.
Il garante, inoltre, ha ritenuto che anche lo schema di determina volto ad introdurre la suddetta nuova modalità di identificazione da remoto dei richiedenti è conforme alla normativa in materia di protezione dei dati personali.
In particolare, il Garante ha ritenuto rispettoso della normativa privacy l’uso del bonifico bancario, effettuato da un conto corrente intestato al soggetto che richiede il rilascio dell’identità digitale e attraverso l’inserimento di una causale che permette di correlare il bonifico alla richiesta di rilascio dello SPID (attraverso l’indicazione di uno specifico codice appositamente fornito al richiedente). Inoltre, il garante ha ritenuto altresì conforme alla normativa privacy l’uso di una sessione audio e video in cui viene fornito un codice numerico al richiedente, che dovrà essere letto durante la sessione stessa, e il fatto che l’invio di detto codice avvenga tramite SMS o tramite un’apposita APP installata dal richiedente. A tal proposito, però il Garante precisa che, per garantire il rispetto della normativa privacy, in caso di invio del codice attraverso l’APP, è necessario che detta applicazione sia installata unicamente sul dispositivo dove è presente l’utenza telefonica che è stata fornita dal richiedente al momento della registrazione, in modo che soltanto il richiedente possa utilizzare detta APP e quindi ci sia certezza dell’identità tra il richiedente è colui il quale conosce il codice.
Il garante, inoltre, ritiene conforme anche il sistema di verifica previsto dal regolamento, secondo cui il gestore deve sospendere almeno il 2% delle richieste di attivazione dell’identità digitale ricevute ogni giorno, per effettuare un’ulteriore verifica dell’audio e video da parte di un secondo operatore.
Infine, il Garante ritiene altresì conforme alla normativa in materia di privacy l’invio di rapporti settimanali da parte dei gestori dell’identità digitale, contenenti i casi in cui sono state respinte le richieste di rilascio dello SPID. A tal proposito, tuttavia, precisa che non dovranno essere inviate al garante privacy tutte le richieste respinte, ma soltanto quelle in cui il rifiuto è stato dettato da profili di criticità in relazione al trattamento dei dati personali (poiché, per esempio, si tratta di tentativi fraudolenti di sottrazione dell’identità altrui).
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento