Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di regolamento recante le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale - 23 aprile 2015 [3953079]

[doc. web n. 3953079]

Parere su uno schema di regolamento recante le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale - 23 aprile 2015

Registro dei provvedimenti
n. 237 del 23 aprile 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere dell'Agenzia per l'Italia digitale;

Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. L'Agenzia per l'Italia digitale (di seguito AGID o Agenzia) ha richiesto il parere del Garante su uno schema di regolamento recante le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.

Il regolamento è adottato ai sensi dell'articolo 4, comma 4, del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 (di seguito dPCM), recante la definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese, sul cui schema il Garante ha reso parere in data 19 giugno 2014.

L'articolo 4 del dPCM, infatti, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per  definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale. Con tali regolamenti devono essere disciplinati anche altri profili, richiamati in altri articoli del decreto.

Anche gli schemi degli altri provvedimenti sono stati trasmessi al Garante e su di essi l'Autorità si esprimerà con separato parere.

RILEVATO

2. Lo SPID consente agli "utenti" (persone fisiche o giuridiche che utilizzano i servizi erogati in rete) di avvalersi di specifici soggetti, i "gestori dell'identità digitale", per consentire ai "fornitori di servizi" l'immediata verifica della propria identità e di eventuali "attributi qualificati" che li riguardano (art. 2 dPCM).

Per "identità digitale" si intende la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi  identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale (art. 1, comma 1, lett. o), dPCM).

L'articolo 7 del dPCM disciplina il rilascio delle identità digitali. Le identità digitali sono rilasciate, a domanda dell'interessato, dal gestore dell'identità digitale, previa verifica dell'identità del soggetto richiedente e mediante consegna in modalità sicura delle credenziali di accesso.

A tale scopo  la verifica dell'identità del soggetto richiedente e la richiesta di adesione avvengono nei seguenti modi: identificazione tramite esibizione a vista di un valido documento d'identità da parte del richiedente, il quale sottoscrive il modulo di adesione allo SPID; identificazione informatica tramite documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all'atto dell'attivazione, fra cui TS-CNS, CNS o carte ad essa conformi; identificazione informatica tramite altra identità digitale SPID di livello di sicurezza pari o superiore a quella oggetto della richiesta; acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale; identificazione informatica fornita da sistemi informatici preesistenti all'introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell'AGID, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto.

3. In tale quadro, lo schema di regolamento all'esame riguarda quest'ultima forma di verifica dell'identità e descrive i requisiti generali che tali preesistenti sistemi devono possedere al fine di poter essere utilizzati per verificare l'identità di un soggetto che richiede il rilascio di un'identità SPID, nonché le modalità con cui l'Agenzia conduce l'istruttoria.

I paragrafi 2 e 3 dello schema disciplinano la procedura con cui il gestore dell'identità presenta l'apposita istanza all'AGID e la documentazione da allegare.

Il gestore dell'identità digitale, infatti, al fine di poter utilizzare le soluzioni di identificazione informatica preesistenti, deve presentare istanza all'AGID allegando la documentazione inerente il preesistente sistema di cui si chiede la valutazione, attestante le caratteristiche e le modalità utilizzate nel processo di verifica dell'identità dei titolari delle identità pregresse (fra queste: le modalità di raccolta e conservazione degli elementi comprovanti il processo, atte a garantirne l'esibizione, l'integrità e l'autenticità; le modalità di individuazione della persona fisica che ha effettuato la verifica; la specifica formazione del personale addetto alla verifica; la modalità di consegna delle credenziali di autenticazione; ecc.).

Il paragrafo 4 disciplina poi l'iter dell'istruttoria dell'istanza, effettuata dall'AGID. In tale ambito, l'Agenzia si riserva la facoltà di svolgere verifiche presso le strutture utilizzate per il rilascio delle identità pregresse e di interloquire con addetti a tale attività al fine di verificarne la formazione.

Al termine dell'istruttoria, l'Agenzia accoglie l'istanza ovvero la respinge con provvedimento motivato e ne dà apposita comunicazione al richiedente. Nella medesima comunicazione l'Agenzia indica i livelli di sicurezza delle identità digitali.

Il gestore di identità SPID, ottenuto favorevole pronunciamento da parte dell'Agenzia, può iniziare ad utilizzare le credenziali fornite con le identità pregresse al fine di verificare l'identità dei richiedenti un'identità SPID.

RITENUTO

4. Lo schema di regolamento è stato elaborato dall'AGID all'esito di riunioni e interlocuzioni avute con l'Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali; le indicazioni sono state accolte dall'Agenzia anche attraverso una nuova formulazione di alcuni paragrafi.
Le indicazioni rese dall'Ufficio hanno riguardato, in particolare, un più puntuale coordinamento con la normativa di settore, e in particolare con il decreto del 2014 cui si intende dare attuazione, e l'integrazione della documentazione da allegare all'istanza.

Sotto questo profilo, si prevede ora che –sempre in relazione al preesistente sistema- sia presentata documentazione attestante anche: l'analisi dei rischi e delle contromisure afferenti l'uso delle identità pregresse ai fini della verifica dell'identità del soggetto richiedente l'identità SPID; le modalità con cui ai soggetti titolari dell'identità pregressa è offerta la facoltà di utilizzare la stessa per ottenere un'identità SPID; le informazioni fornite ai predetti soggetti atte a chiarire l'assenza di qualunque obbligo a dotarsi di identità SPID, gli obblighi e le responsabilità assunte dal gestore dell'identità SPID, gli obblighi del titolare dell'identità digitale SPID, i rischi derivanti dal possesso della stessa, le cautele e le contromisure adottabili dal titolare (par. 3, punti 11, 12 e 13).

Ciò premesso, lo schema di provvedimento non presenta criticità e il Garante, pertanto, non ha osservazioni da formulare.

IL GARANTE

esprime parere favorevole sullo schema di regolamento recante le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.

Roma, 23 aprile 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

L SEGRETARIO GENERALE
Busia