[doc. web n. 4538528]
Parere
all'Agid su uno schema di regolamento in tema di modalità attuative per
la realizzazione dello SPID e uno schema di convenzione relativa ai
gestori - 17 dicembre 2015
Registro dei provvedimenti
n. 660 del 17 dicembre 2015
n. 660 del 17 dicembre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella
riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del
dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere dell'Agenzia per l'Italia digitale;
Visto
l'articolo 154, comma 4, del Codice in materia di protezione dei dati
personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);
Vista la documentazione in atti;
Viste
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO
1.
L'Agenzia per l'Italia digitale (di seguito anche AGID) ha richiesto il
parere del Garante su due schemi-tipo di convenzione fra l'AGID
medesima, da un lato, e, rispettivamente, i gestori di identità digitale
e le pubbliche amministrazioni in qualità di fornitori di servizi,
dall'altro, da adottare ai sensi del decreto del Presidente del
Consiglio dei ministri 24 ottobre 2014 (di seguito dPCM) recante la
definizione delle caratteristiche del sistema pubblico per la gestione
dell'identità digitale di cittadini e imprese (SPID), sul cui schema il
Garante ha reso parere in data 19 giugno 2014.
Inoltre,
l'AGID ha nuovamente sottoposto a parere del Garante, in una versione
aggiornata, lo schema di regolamento recante le modalità attuative per
la realizzazione dello SPID, sul quale l'Autorità ha espresso un primo
parere in data 4 giugno 2015 che riguardava, oltre allo schema di
regolamento sulle modalità attuative, anche lo schema di regolamento
dell'Agenzia relativo alle regole tecniche (parere n. 332 del 4 giugno
2015, doc. web n. 4257475).
L'articolo
4 del dPCM, infatti, ai commi 2, 3 e 4, prevede che l'Agenzia adotti
regolamenti per definire, appunto, le regole tecniche e le modalità
attuative per la realizzazione dello SPID, le modalità di accreditamento
dei soggetti SPID, nonché le procedure necessarie a consentire ai
gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di
identificazione informatica conformi ai requisiti dello SPID, il
rilascio dell'identità digitale.
Riguardo
agli schemi degli altri regolamenti dell'Agenzia previsti dal citato
articolo 4 (concernenti, in particolare, l'accreditamento dei gestori di
identità digitale e le procedure necessarie a consentire ai predetti
gestori, tramite l'utilizzo di altri sistemi di identificazione
informatica conformi ai requisiti dello SPID, il rilascio dell'identità
digitale), l'Autorità ha reso il proprio parere, in data 23 aprile
scorso (pareri n. 237 e n. 238 del 23 aprile 2015, doc. web n. 3953079 e n. 3953181).
Infine,
l'articolo 10, comma 2, del predetto dPCM prevede che l'AGID stipuli
apposita convenzione con i gestori dell'identità digitale e disponga
l'iscrizione degli stessi nel registro SPID.
Il
presente parere –per evidenti ragioni di affinità di materia- si
riferisce sia al nuovo schema di regolamento, sia allo schema di
convenzione-tipo concernente, appunto, i gestori dell'identità digitale.
Il Garante si esprimerà in prosieguo sull'altro schema di convenzione,
relativo all'adesione a SPID da parte delle pubbliche amministrazioni,
in qualità di fornitori di servizi.
RILEVATO
2.
Il Garante riconnette particolare importanza alla materia in esame per
le implicazioni che ne possono derivare sotto il profilo della tutela
della riservatezza e della protezione dei dati personali; in ragione di
ciò, il nuovo schema di regolamento e lo schema di convenzione sono
stati elaborati dall'AGID all'esito di riunioni e interlocuzioni avute
con l'Ufficio del Garante, modificando e integrando l'originaria
formulazione di alcuni articoli in coerenza con i rilievi e le
osservazioni formulati durante il tavolo tecnico.
2.1. Il regolamento sulle modalità attuative di SPID.
Per
quanto riguarda lo schema di regolamento, l'Autorità prende
innanzitutto atto che nel testo è stato inserito l'articolo 32-bis,
riguardante la collaborazione fra l'AGID e il Garante, già oggetto di
una specifica condizione nel precedente parere (cfr. punto 5.21. del
parere cit. del 4 giugno 2015).
Lo
schema presenta inoltre alcuni mirati perfezionamenti, volti a rendere
il regolamento pienamente conforme ai principi e alle garanzie in
materia di protezione dei dati personali, che l'Autorità aveva già
evidenziato nel precedente parere. Tali perfezionamenti sono il frutto
di ulteriori approfondimenti svolti in collaborazione fra l'Ufficio del
Garante e i rappresentanti dell'Agenzia.
Le integrazioni riguardano in particolare
• una maggiore coerenza fra il testo del regolamento e il d.P.C.M.;
• il rafforzamento dei controlli posti in essere dall'AGID in tema di sicurezza informatica e protezione dei dati personali;
• il rafforzamento della sicurezza delle procedure di identificazione in remoto;
•
una più puntuale definizione di adeguate modalità di conservazione
della documentazione inerente alla creazione e al rilascio
dell'identità digitale (ivi comprese le registrazioni audio/video
acquisite nel caso d'identificazione in remoto);
• la specificazione delle caratteristiche del servizio di segnalazione all'utente dell'avvenuto utilizzo delle sue credenziali;
• una migliore esplicitazione in merito alle procedure di sospensione e revoca dei gestori.
Nondimeno
si rileva che, in ragione della complessità e dell'importanza della
materia, resta l'esigenza di apportare allo schema di regolamento alcuni
ulteriori perfezionamenti, nei termini di seguito descritti:
a)
all'articolo 2, deve essere perfezionata la descrizione dei livelli di
sicurezza delle identità digitali SPID al fine di garantire una maggiore
coerenza della disposizione con quanto previsto all'art. 8 del
Regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di livelli
di garanzia dei mezzi di identificazione elettronica. In particolare, al
fine di eliminare ogni ambiguità del testo, occorre specificare che il
rischio menzionato nel medesimo articolo per descrivere i differenti
livelli di sicurezza delle identità digitali riguarda l'uso abusivo o
l'alterazione dell'identità. Al riguardo, va precisato che il livello 1 è
caratterizzato da un'affidabilità e una qualità delle specifiche
tecniche, norme e procedure dello strumento di identificazione
elettronica tali da ridurre il rischio di uso abusivo o di alterazione
dell'identità; al livello 2 l'affidabilità e la qualità delle predette
specifiche tecniche, norme e procedure è tale da ridurre
significativamente il predetto rischio, mentre al livello 3
l'affidabilità e la qualità delle stesse specifiche, norme e procedure è
tale da impedire l'uso abusivo o l'alterazione dell'identità. Ciò, al
fine di mantenere un'opportuna distinzione tra la valutazione, in capo
ai gestori dell'identità digitale, del livello di affidabilità e
sicurezza dei sistemi di identificazione elettronica predisposti, e,
quella, in capo ai fornitori di servizi, dell'impatto per gli utenti
interessati di un utilizzo improprio delle loro identità SPID in
relazione all'accesso a differenti tipologie di servizi elettronici
offerti;
b)
l'articolo 8 va ulteriormente perfezionato specificando che se il
gestore dell'identità digitale fornisce solo l'identificazione da
remoto, come modalità per la verifica dell'identità del richiedente, ciò
deve essere messo in specifica evidenza, oltre che nelle condizioni e
termini del contratto, anche nell'informativa da rendere all'interessato
ai sensi dell'articolo 13 del Codice;
c) all'articolo 28 è necessario espungere il termine "di trasmissione" che sembra il frutto di un refuso.
2.2.. La convenzione-tipo relativa ai gestori dell'identità digitale.
Quanto
alla convenzione relativa ai gestori dell'identità digitale, essa
appare sostanzialmente conforme alle indicazioni rese dall'Ufficio del
Garante nel quadro delle predette interlocuzioni.
In particolare è stato migliorato il contenuto della convenzione relativamente a:
•
la coerenza fra il testo della convenzione e il Regolamento (UE) n.
910/2014 in materia di identificazione elettronica e servizi fiduciari
per le transazioni elettroniche nel mercato interno (eIDASS), il dPCM e i
regolamenti attuativi adottati dall'AGID;
•
le garanzie previste dalla normativa sulla protezione dei dati
personali nel caso in cui il gestore si avvalga di soggetti esterni per
la fornitura del servizio d'identità digitale;
• la specificazione degli obblighi del gestore riguardo al trattamento dei dati personali;
•
gli obblighi in capo ai gestori relativi alle misure di sicurezza e
agli strumenti crittografici adottati, con particolare riguardo alla
loro adeguatezza rispetto agli standard riconosciuti in ambito europeo e
internazionale;
•
gli obblighi dei gestori nei confronti degli utenti, relativi in
particolare all'accesso da parte di questi ultimi alle informazioni
relative ai servizi da essi erogati e alla disponibilità di indicazioni
semplici e chiare circa le caratteristiche e il funzionamento del
sistema SPID;
• le modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali;
• le procedure che l'AGID è tenuta ad adottare in caso di inadempimenti del gestore.
Anche
in questo caso, in ragione della complessità e dell'importanza della
materia, si segnala l'esigenza di apportare al provvedimento alcune
indicazioni, nei termini di seguito descritti:
a)
occorre inserire all'articolo 2, comma 1, lett. a) dello schema
l'esplicito riferimento all'articolo 29 del Codice riguardo al caso in
cui il gestore si avvalga di soggetti esterni per la fornitura del
sevizio d'identità digitale;
b)
è necessario sostituire nell'articolo 2, comma 2, lett. g) la formula
"una periodicità inferiore ai due giorni lavorativi previsti" con la
seguente: "una periodicità inferiore ai tre giorni lavorativi previsti".
IL GARANTE
a)
esprime parere favorevole sullo schema di regolamento dell'Agenzia per
l'Italia digitale recante le modalità attuative per la realizzazione
dello SPID, evidenziando la necessità di apportare allo schema i
perfezionamenti indicati al punto 2.1.;
b)
esprime parere favorevole sullo schema di convenzione relativa ai
gestori dell'identità digitale, evidenziando la necessità di apportare
allo schema-tipo i perfezionamenti indicati al punto 2.2..
Roma, 17 dicembre 2015
IL PRESIDENTE
Soro
Soro
IL RELATORE
Iannini
Iannini
IL SEGRETARIO GENERALE
Busia
Busia
http://www.garanteprivacy.it/
