g-docweb-display Portlet

Parere su uno schema di convenzione-tipo relativo all'adesione a SPID da parte delle pubbliche amministrazioni, in qualità di fornitori di servizi - 18 febbraio 2016 [4797918]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4797918]

Parere su uno schema di convenzione-tipo relativo all´adesione a SPID da parte delle pubbliche amministrazioni, in qualità di fornitori di servizi - 18 febbraio 2016

Registro dei provvedimenti
n. 62 del 18 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere dell´Agenzia per l´Italia digitale;

Visto l´articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. L´Agenzia per l´Italia digitale (di seguito anche AGID) ha richiesto il parere del Garante su due schemi-tipo di convenzione fra l´AGID medesima, da un lato, e, rispettivamente, i gestori di identità digitale e le pubbliche amministrazioni in qualità di fornitori di servizi, dall´altro, da adottare ai sensi del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 (di seguito dPCM) recante la definizione delle caratteristiche del sistema pubblico per la gestione dell´identità digitale di cittadini e imprese (SPID), sul cui schema il Garante ha reso parere in data 19 giugno 2014.

Inoltre, l´AGID ha nuovamente sottoposto a parere del Garante, in una versione aggiornata, lo schema di regolamento recante le modalità attuative per la realizzazione dello SPID, sul quale l´Autorità ha espresso un primo parere in data 4 giugno 2015 che riguardava, oltre allo schema di regolamento sulle modalità attuative, anche lo schema di regolamento dell´Agenzia relativo alle regole tecniche (parere n. 332 del 4 giugno 2015, doc. web n. 4257475).

Con parere del 17 dicembre 2015 (doc. web. 4538528), il Garante si è espresso sul nuovo schema di regolamento dell´AGID recante le modalità attuative per la realizzazione dello SPID, nonché sullo schema di convenzione relativa ai gestori dell´identità digitale.

Il presente parere si riferisce allo schema di convenzione-tipo relativo all´adesione a SPID da parte delle pubbliche amministrazioni, in qualità di fornitori di servizi.

RILEVATO

2. Il Garante riconnette particolare importanza alla materia in esame per le implicazioni che ne possono derivare sotto il profilo della tutela della riservatezza e della protezione dei dati personali; in ragione di ciò, il nuovo schema di convenzione è stato elaborato dall´AGID all´esito di riunioni e interlocuzioni avute con l´Ufficio del Garante, modificando e integrando l´originaria formulazione di alcuni articoli in coerenza con i rilievi e le osservazioni formulati durante il tavolo tecnico.

2.1. Considerato che lo schema di convenzione non fa riferimento alle modalità operative riguardanti le necessarie interazioni tra le pubbliche amministrazioni aderenti allo SPID, in qualità di fornitori in rete di servizi qualificati, e i gestori di attributi qualificati (che consentono alle prime, di verificare il possesso e la validità degli attributi qualificati forniti dall´utente che intende usufruire del servizio), si richiama l´attenzione sulla necessità di aggiornare, una volta definito il percorso di accreditamento e convenzionamento di questi ultimi (cfr. artt. 4, comma 1 lett. c) e 16 del DPCM 24 ottobre 2014), lo schema di convenzione al fine di apportare le integrazioni necessarie a disciplinare le interazioni fra la pubbliche amministrazioni fornitrici di servizi e i gestori di attributi qualificati. Questo anche alla luce della considerazione che, come noto, il complessivo quadro normativo di attuazione del sistema SPID, manca a tutt´oggi della definizione degli schemi di convenzione con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità alle quali sono tenuti ad aderire i gestori dell´identità digitale e i gestori degli attributi qualificati (cfr. art. 4, comma 1, lett. c) del DPCM cit.).

Si rileva inoltre che il predetto schema non contiene  riferimenti agli obblighi riguardanti gli eventuali casi di uso anomalo delle identità digitali, nonché a quelli di conservazione delle informazioni necessarie a imputare le operazioni effettuate sui sistemi dei fornitori di servizi alle singole identità (si fa riferimento, ad esempio, agli obblighi in materia di informativa all´utente riguardanti, tra l´altro, la verifica di attributi qualificati riferibili all´utente ai sensi dell´art. 13, comma 4, del DPCM 24 ottobre 2014 e dell´art. 27 del Regolamento AGID sulle modalità attuative; agli adempimenti a cui sono tenuti i fornitori di servizi nei casi di uso illecito o anomalo delle identità digitali ai sensi degli artt. 9 e 13, comma 3, del DPCM cit. e dell´art. 20 del Regolamento AGID sulle modalità attuative, o anche agli obblighi di tracciatura in capo ai fornitori di servizi di cui all´art. 13 comma 2, del DPCM cit. e all´art. 29 del Regolamento AGID sulle modalità attuative).

2.2. Fatte queste premesse e passando al testo dell´articolato, si osserva quanto segue:

a) è necessario, in aderenza a quanto previsto dall´art. 14, comma 1, del D.P.C.M. cit., che disciplina l´adesione a SPID per "le pubbliche amministrazioni che erogano in rete servizi qualificati", integrare le premesse dello schema in esame con il riferimento al comma 1 dell´art. 14 del DPCM cit., e che la parola "servizi" sia sostituita, ovunque essa ricorra, con "servizi qualificati erogati in rete";

b)  per quanto riguarda l´art. 2:

•  al comma 1, lett. b), il testo va coordinato con quanto previsto all´art. 6, comma 5 del DPCM cit. e all´art. 3, comma 1, lett. b) del Regolamento AGID sulle modalità attuative, che prevedono che i fornitori di servizi "motivino" all´Agenzia le scelte in relazione ai livelli di sicurezza e agli attributi (identificativi, non identificativi e qualificati) richiesti per ciascuno dei servizi erogati;

• al comma 1, lett. e), dopo le parole "sistema di autenticazione," va aggiunto "fermo restando l´obbligo per le pubbliche amministrazioni di comunicare al Garante il verificarsi di violazioni dei dati personali o di incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati, in conformità al Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015, riguardante "Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche"; occorre inoltre dettagliare opportunamente modalità e termini dell´obbligo previsto in capo alle amministrazioni nei confronti di AGID di comunicare "ogni malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione" (cfr. al riguardo, le modalità e i termini dell´analogo adempimento posto in capo ai gestori delle identità digitali fissati dall´art. 30 del Regolamento AGID sulle modalità attuative);

• al comma 1, lett. f), vanno sostituite le parole "a vincolarsi alla scrupolosa" con "all´";

• il comma 1, lett. i), va eliminato  posto che il fornitore di servizi non deve, in alcun modo, essere a conoscenza delle "componenti riservate" delle identità digitali (cfr. al riguardo, l´ art. 2, comma 1, lett. n) dello schema di convenzione fra l´AGID e i gestori di identità digitale su cu il Garante ha reso parere in data 17 dicembre 2015);

• al comma 2, lett. a), il testo va coordinato con l´art. 2, comma 1, lett. e) integrando eventualmente le due previsioni in un´unica disposizione e chiarendo modalità e termini degli obblighi di comunicazione previsti in capo alle amministrazioni nei confronti di AGID (cfr. al riguardo, il punto 5 delle osservazioni del presente parere, nonché le modalità e i termini dell´analogo obbligo posto in capo ai gestori delle identità digitali ai sensi dell´articolo 11, comma 1, lett. o), del DPCM cit. e dell´art. 32-bis del Regolamento AGID sulle modalità attuative);

• al comma 2, lett. b), tra le parole "da questa richiesti" e le parole "a fini statistici" vanno aggiunte le seguenti "che possono essere utilizzati esclusivamente"; inoltre, dopo le parole "in forma aggregata." vanno aggiunte le parole" Agid, prima della pubblicazione, verifica che i dati  resi pubblici siano effettivamente anonimi nel loro complesso, individuando la presenza di eventuali outlier statistici generati durante le fasi di analisi";

•  al comma 2, comma 1, lett. c), sostituire la formula "al Regolamento recante le regole tecniche" con la seguente "ai Regolamenti attuativi del sistema SPID adottati dall´Agenzia";

c) con riferimento all´art. 3, lo schema va modificato puntualizzando i compiti dell´Agenzia nei confronti dei soli fornitori di servizi;

d) in relazione all´art. 4, lo schema va modificato tenendo presente che l´amministrazione può trattare i dati personali dell´utente non "nell´ambito dell´erogazione del servizio di identità digitale", bensì nell´ambito dell´erogazione all´utente di servizi in rete qualificati;

e) per quanto riguarda l´art. 7:

• il comma 1 va integrato il riferimento agli "inadempimenti dell´Amministrazione degli obblighi assunti con la presente Convenzione", menzionando anche gli altri obblighi in capo ai fornitori di servizi previsti nel DPCM cit. e nei Regolamenti attuativi del sistema SPID adottati dall´Agenzia;

• al comma 3, va precisato meglio a quale caso di cessazione dell´attività dell´Amministrazione, sia collegata la risoluzione ipso iure della convenzione.

IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema-tipo di convenzione fra l´AGID e le pubbliche amministrazioni in qualità di fornitori di servizi, tenuto conto di quanto suggerito al punto 2.1, evidenziando peraltro la necessità di apportare allo schema i perfezionamenti indicati al punto 2.2.

Roma, 18 febbraio 2016

IL PRESIDENTE
Iannini

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia



Vedi anche (9)