g-docweb-display Portlet

Parere sullo schema di “Linee guida recanti le regole tecniche dei gestori di attributi qualificati”, predisposto dall’Agenzia per l’Italia digitale - 16 giugno 2022 [9790035]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9790035]

Parere sullo schema di “Linee guida recanti le regole tecniche dei gestori di attributi qualificati”, predisposto dall’Agenzia per l’Italia digitale - 16 giugno 2022

Registro dei provvedimenti
n. 230 del 16 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 64 del decreto legislativo 7 marzo 2005, n. 82 (di seguito, CAD), ai sensi del quale, in particolare:

- “Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati” (comma 2-decies);

- “[…] L'identità digitale, verificata ai sensi del presente articolo e con livello di sicurezza almeno significativo, attesta gli attributi qualificati dell'utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalità stabilite da AgID con Linee guida” (comma 2-duodecies);

VISTO, altresì, l’art. 71 del CAD, in base al quale l’Agenzia per l’Italia digitale (di seguito, AgID), adotta Linee guida contenenti le regole tecniche e di indirizzo per l'attuazione del CAD medesimo, sentito il Garante;

VISTO il decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”, ai sensi del quale, in particolare:

- sono fornite le definizioni, tra le altre, di “attributi qualificati” e di “gestori di attributi qualificati” (art. 1, comma 1, rispettivamente lett. e) e m));

- “lo SPID consente agli utenti di avvalersi di gestori dell'identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi l'immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano” (art. 2, comma 2);

- "L'Agenzia stabilisce […] le modalità e le regole tecniche con le quali i gestori dell'identità digitale e i gestori degli attributi qualificati curano e rendono disponibile la verifica degli attributi stessi ai fornitori di servizi. Gli attributi qualificati sono verificati dal fornitore di servizi presso il gestore di attributi qualificati” (art. 5, comma 3);

- “[…] Nell'ambito dell'informativa di cui all'art. 13 del decreto legislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identità digitale e gli eventuali attributi qualificati saranno verificati, rispettivamente, presso i gestori dell'identità digitale e i gestori degli attributi qualificati” (art. 13, comma 4);

- sono definite le regole per l’accreditamento dei gestori di attributi qualificati, intesi quali i “soggetti che hanno il potere, in base alle norme vigenti, di attestare gli attributi qualificati”, e sono individuati i seguenti soggetti accreditati di diritto come tali (art. 16): “a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all'art. 6‐bis del CAD; b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione dell'iscrizione agli albi professionali; c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese; d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi di cui all'art. 57‐bis del CAD”;

VISTA la nota del 9 agosto 2021, come integrata e modificata in data 24 marzo 2022 a seguito di numerose interlocuzioni con l’Ufficio, con la quale l’AgID ha sottoposto all’Autorità lo schema di “Linee guida recanti le regole tecniche dei gestori di attributi qualificati”, comprensivo di un allegato, ai fini dell’acquisizione del parere previsto dal citato art. 71 del CAD;

RILEVATO che tale schema, nel prefiggersi lo scopo di “definire i requisiti per la realizzazione dell’architettura dei gestori di attributi qualificati (nel seguito anche Attribute Authorities) ai sensi dell’art. 1, comma 1, lettera m) del decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014” (par. 1.1), stabilisce, tra le altre cose:

- l’applicazione dei meccanismi ivi disciplinati ai soggetti coinvolti nella federazione SPID e a quelli presenti nella federazione CIE (par. 1.4);

- le definizioni rilevanti, tra cui quella di “attributi qualificati” (par. 2.4);

- la richiesta dell’attributo qualificato dal service provider (di seguito, SP) all’attribute authority (di seguito, AA) “qualora sia necessario qualificare il soggetto interessato in particolari contesti e ai soli fini della fruizione di uno specifico servizio online a cui l’interessato intende accedere”, demandando alla stessa AA “L’individuazione, la descrizione e la modalità di messa a disposizione degli attributi qualificati che l’AA è in grado di attestare” (par. 3.2);

- il processo di richiesta degli attributi qualificati da parte del SP nei confronti dell’AA, nell’ambito del quale il SP, previamente, “informa di tale necessità l’utente che intende accedere al servizio, indicando, per ogni attributo qualificato, anche l’AA presso cui sarà richiesto” (par. 3.3). La richiesta può essere puntuale (par. 3.3.1) o continuativa (par. 3.3.2). Quest’ultima consiste in una richiesta “volta a ottenere, da parte dell’AA, più attestazioni “asincrone” del/i medesimo/i attributo/i qualificato/i all’interno di una finestra temporale non superiore a un periodo ininterrotto di 12 mesi - reciprocamente concordata tra SP, AA e utente”, di cui il SP può avvalersi solo previa “autonoma, motivata e dimostrabile valutazione in merito alla necessità di eseguire una richiesta continuativa di attributi qualificati per la specifica finalità del servizio”, e “solo se l’AA destinataria offre effettivamente tale possibilità”;

- tre diverse casistiche di accesso e attestazione di attributi qualificati (par. 3.4 e cap. 4), così strutturate:

• “public”: riguarda il caso in cui “il dato è open, di pubblico dominio o liberamente accessibile. In tal caso l’accesso al dato non richiede l’acquisizione dell’assenso dell’utente da parte dell’AA”;

• “protected”: riguarda il caso in cui “l’accesso al dato è riservato ai SP che hanno una specifica convenzione con l’AA. In tal caso, per l’accesso non è richiesta l’acquisizione dell’assenso dell’utente da parte dell’AA”. Tale ipotesi prevede un meccanismo con il quale SP e identity provider (di seguito, IdP) rendono edotto l’utente degli attributi qualificati richiesti e delle AA presso cui il SP li acquisisce per dare corso alla richiesta di erogazione del servizio, consentendo all’utente medesimo di selezionare le AA per la cui interrogazione vuole fornire l’assenso al SP; a questo punto, mediante uno specifico “token di concessione” (o “grant_token”) generato dall’IdP, il SP può interrogare l’AA, senza che quest’ultima necessiti di un ulteriore assenso da parte dell’utente. Il “grant_token”, che non è decifrabile dal SP ma solo dall’AA, viene poi convertito, da quest’ultima, in “access_token”, che viene poi trasmesso al SP e utilizzato da quest’ultimo per accedere all’attributo qualificato richiesto (par. 4.2; cfr. anche par. 3.2 dell’allegato tecnico);

• “private”: riguarda il caso in cui “l’accesso al dato è consentito solo previa acquisizione dell’assenso dell’utente da parte dell’AA. Tale casistica si applica sempre nei casi di richiesta continuativa di attributi qualificati”. In questo caso, il meccanismo prevede che il SP reindirizzi direttamente l’utente verso l’AA, affinché, previa autenticazione, gli renda l’assenso a fornire al SP gli attributi qualificati che lo riguardano (par. 4.3);

- la predisposizione, da parte delle AA, di un servizio di consultazione per l’utente, che gli consenta di: “verificare a quali SP sono stati trasmessi gli attributi o è stato concesso il loro trasferimento periodico; verificare la data, l’ora e l’attestazione di attributi inviata per ciascuna delle richieste continuative intervenute nel il periodo concordato nell’autorizzazione di lunga durata; accorciare la durata dell’autorizzazione di lunga durata; revocare l’autorizzazione di lunga durata”. Si tratta di un servizio di istituzione obbligatoria “Nel caso in cui sia previsto per norma e/o nel caso in cui siano consentite richieste di attributi continuative per mezzo di autorizzazioni di lunga durata” (par. 4.5);

- la definizione di profili strettamente di protezione dei dati personali (cap. 5), tra cui: la natura degli assensi forniti dall’utente nel processo di acquisizione degli attributi qualificati; gli obblighi di trasparenza in capo ai SP; i tempi di conservazione; i ruoli di IdP, SP e AA, quali titolari autonomi; il rispetto degli obblighi in materia di sicurezza;

CONSIDERATO che lo schema di Linee guida in esame è stato elaborato anche tenendo conto delle indicazioni fornite dall’Ufficio dell’Autorità, nell’ambito di interlocuzioni informali con AgID, consistenti nel:

- ridefinire il perimetro della nozione di “attributo qualificato”, in aderenza a quanto previsto al riguardo dal d.P.C.M. 24 ottobre 2014, e prevedere che il SP lo richieda all’AA solamente qualora ritenga necessario qualificare l’interessato in particolari contesti e ai soli fini della fruizione di uno specifico servizio online cui l’interessato intenda accedere, al fine di assicurare il rispetto dei principi di liceità, trasparenza, limitazione della finalità e minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), del Regolamento);

- stabilire precisi obblighi di informazione, nei confronti degli utenti, in capo a ciascuno dei soggetti coinvolti nel trattamento, in relazione a ciascuna fase in cui questo si articola, nel rispetto del principio e dei relativi obblighi di trasparenza (artt. 5, par. 1, lett. a), 12-14 del Regolamento);

- precisare che le richieste continuative di attributi qualificati debbano essere effettuate sempre nell’ambito dello specifico servizio inizialmente richiesto dall’utente a un SP, evitando quindi interrogazioni che esulino dalla finalità originaria per la quale l’utente ha acceduto al servizio, rimettendo al SP le valutazioni sull’effettiva necessità di questa tipologia di richiesta, nel rispetto dei principi di liceità, trasparenza, limitazione della finalità e accountability (art. 5, parr. 1, lett. a), e b), e 2, del Regolamento);

- stabilire misure, in relazione ai casi “public”, “protected” e “private”, di accesso e attestazione degli attributi qualificati, con le quali assicurare l’espressione chiara e consapevole delle scelte in capo all’utente nonché la correttezza, la trasparenza, la minimizzazione e l’integrità e la riservatezza dei flussi dei dati personali, anche in conformità ai principi di privacy by design e by default (artt. 5, par. 1, lett. a), c) e f), 25 e 32 del Regolamento);

- chiarire i tempi di conservazione delle richieste e delle relative attestazioni di attributi, allineandoli a quelli già previsti dalla disciplina in materia di SPID (24 mesi) e collegandoli esclusivamente a fini probatori, nel rispetto dei principi di limitazione della finalità e della conservazione (art. 5, par. 1, lett. b) ed e), del Regolamento);

- nell’adozione delle misure tecniche e organizzative – da parte di IdP, SP e AA – necessarie a garantire un livello di sicurezza adeguato al rischio, tracciando gli accessi e le attività degli utenti per il tempo strettamente necessario (nel rispetto degli artt. 5, par. 1, lett. f), 25, 29 e 32 del Regolamento), nonché prevedendo un meccanismo di informazione reciproca e tempestiva tra i titolari del trattamento in caso di violazioni di sicurezza o di qualsiasi minaccia che comportino un rischio per la sicurezza e per i diritti e le libertà degli interessati, anche al fine di agevolare l’adempimento degli obblighi di cui agli artt. 33 e 34 del medesimo Regolamento;

CONSIDERATO, altresì, che:

-la valutazione circa la necessità del rinnovo o dell’estensione del periodo in cui sono autorizzate richieste continuative di attributi qualificati tiene conto dei presupposti su cui si fonda il servizio in relazione al quale occorrono tali attributi, sia in termini di base giuridica che di caratteristiche del servizio medesimo (par. 3.3.2 dello schema);

- le informazioni che il SP deve fornire all’utente includono anche quelle relative alle AA che potrebbe interrogare e ai relativi attributi qualificati di cui potrebbe aver bisogno per l’erogazione dei servizi, come peraltro indicato al par. 3.2 dell’allegato tecnico in relazione all’accesso in modalità “protected” (parr. 4.1 e 4.2 dello schema);

- al SP è consentito di implementare il meccanismo di “IdP hinting”, che consiste nella trasmissione all’AA di un suggerimento sull’IdP da utilizzare al fine di snellire il processo di autenticazione informatica dell’utente, come descritto al par. 3.3.5 dell’allegato tecnico (par. 4.3 dello schema);

CONSIDERATO, tuttavia, che lo schema di Linee guida in esame richiede ulteriori interventi, necessari per assicurare la tutela dei diritti e delle libertà fondamentali degli interessati nel rispetto, in particolare, dei principi di liceità, correttezza, minimizzazione dei dati e privacy by design e by default (artt. 5, par. 1, lett. a) e c), e 25 del Regolamento), con riferimento ai seguenti aspetti:

a) al par. 1.4 dello schema, la definizione dei requisiti per la realizzazione dell’architettura dei gestori di attributi qualificati, oggetto delle Linee guida in esame, deve riguardare anche i servizi resi disponibili dagli SP mediante CNS – oltre che quelli per la cui autenticazione occorrono SPID o CIE – nonché il servizio fornito dalle AA che consente l’accesso agli attributi qualificati, tenuto conto di quanto previsto dall’art. 62, comma 2-nonies, del CAD;

b) al par. 2.4 dello schema, nel  perimetro degli “attributi qualificati”, non è chiaro se siano ricomprese  le categorie particolari di dati personali e i dati personali relativi a condanne penali e reati, di cui, rispettivamente, agli artt. 9 e 10 del Regolamento. Al fine di fornire a SP e AA un quadro chiaro dell’operatività delle Linee guida in esame, in ragione della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per gli interessati, stante l’assenza di misure appropriate e specifiche a tutela dei diritti fondamentali degli interessati, si rende pertanto necessario escludere che tra gli attributi qualificati possano essere annoverate le predette tipologie di dati personali (artt. 9 e 10 del Regolamento, nonché artt. 2-sexies e 2-octies del Codice), che non possono quindi essere oggetto di trattamento;

c) al par. 3.2 dello schema, devono essere fornite alle AA, indicazioni in merito alle possibili modalità di messa a disposizione degli attributi qualificati in favore dei SP che, per impostazione predefinita, devono assicurare il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento, tenendo conto dell’effettivo contenuto informativo da fornire ai SP (ad esempio, privilegiando attributi di tipo booleano, o comunque fornendo le informazioni minime necessarie per attestare il possesso dell’attributo richiesto);

RITENUTO, pertanto, di dover rendere parere favorevole sullo schema di Linee guida in esame, con le condizioni di cui alle lett. a), b) e c) indicate supra;

CONSIDERATO, infine, che rimane fermo, in capo ai titolari del trattamento coinvolti, l’obbligo di effettuare una preventiva valutazione d’impatto sulla protezione dei dati in presenza di rischi elevati per i diritti e le libertà delle persone fisiche, ai sensi dell’art. 35 del Regolamento, al fine di individuare le misure necessarie volte a mitigare l’impatto di tali rischi;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “Linee guida recanti le regole tecniche dei gestori di attributi qualificati”, predisposto dall’Agenzia per l’Italia digitale ai sensi dell’art. 71 del d.lgs. 7 marzo 2005, n. 82, con le seguenti condizioni:

a) al par. 1.4 dello schema, la definizione dei requisiti per la realizzazione dell’architettura dei gestori di attributi qualificati deve riguardare anche i servizi resi disponibili dagli SP mediante CNS, nonché il servizio fornito dalle AA che consente l’accesso agli attributi qualificati;

b) al par. 2.4 dello schema, dal perimetro degli “attributi qualificati” devono essere escluse le tipologie di dati personali di cui agli artt. 9 e 10 del Regolamento;

c) al par. 3.2 dello schema, devono essere fornite alle AA indicazioni in merito alle possibili modalità di messa a disposizione degli attributi qualificati in favore dei SP che, per impostazione predefinita, devono assicurare il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento, tenendo conto dell’effettivo contenuto informativo da fornire ai SP.

Roma, 16 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei