L’AgID Agenzia per l’Italia digitale ha chiesto il parere del Garante Privacy sullo SPID. In particolare, al garante è stata chiesta la definizione di uno schema di regolamento con la definizione delle caratteristiche del sistema pubblico di identità digitale e le modalità per l’accreditamento e la vigilanza sui gestori dell’identità digitale.
Cos’è SPID e cosa ha detto il Garante Privacy
Di cosa sia SPID ne abbiamo parlato in un precedente nostro articolo. Il progetto SPID consiste in un sistema nazionale per l’identificazione elettronica di cittadini e imprese, che consente l’accesso ai servizi online di tutte le pubbliche amministrazioni usando sempre la stessa coppia di credenziali univoche. AgID definisce SPID “insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni”.
Con il provvedimento 238 del 23 aprile 2015, il Garante della Privacy ha espresso un parere a seguito della richiesta di parere da parte di AgID. Il Garante ha dato particolare importanza al trattamento dei dati personali, specialmente per quanto riguarda il rischio di furto, uso abusivo, o alterazione dell’identità degli interessati e l’elevato grado di sicurezza richiesto per la protezione dei dati e dei sistemi.
Garante Privacy e SPID hanno iniziato quindi un confronto, che si è concluso con la redazione di alcune indicazioni dirette ad AgID. Queste sono volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali. Le indicazioni sono state accolte dall’Agenzia anche attraverso una nuova formulazione di alcuni paragrafi.
Quali sono le indicazioni del Garante
Le indicazioni del Garante sono, in linea di massima, le seguenti:
- porre maggiore attenzione alla normativa di settore;
- indicare un referente per la protezione dei dati personali
- AgID deve collaborare con il Garante, in particolare informandolo di possibili violazioni della normativa in materia di protezione dei dati personali;
- rafforzare, razionalizzare e adeguare le misure a protezione dei dati e dei sistemi, per garantire un elevato livello di sicurezza dei trattamenti;
- descrivere più dettagliatamente il processo di approvazione delle soluzioni tecnologiche di autenticazione informatica. Ciò con particolare riguardo a: individuazione delle fasi, documentazione presentata, prove tecniche necessarie e attività di valutazione di AgID.
Quali modifiche ha chiesto il Garante
Oltre a tali indicazioni, tra Garante e SPID sono sorte anche altre esigenze di modifiche volte al perfezionamento del provvedimento. Qui elenchiamo le più significative.
Il personale dei gestori di identità digitale che intendono conseguire l’accreditamento deve avere come requisito la conoscenza del settore della protezione dei dati personali.
Il gestore destinatario del provvedimento di revoca deve provvedere, entro le 12 ore successive all’avvenuta conoscenza del provvedimento, alla sospensione del servizio di identificazione elettronica dandone contestuale comunicazione agli utenti.
L’Agenzia “per espletare le attività per l’accreditamento dei gestori e per svolgere le connesse funzioni di vigilanza” può avvalersi “di apposita struttura, istituita nell’ambito delle proprie dotazioni organiche”.
Dal prossimo ottobre dovrebbero essere disponibili i primi servizi della PA compatibili con il Sistema SPID. Il portale scelto per ospitare il login unico dovrebbe essere italia.it (già predisposto per il turismo). Ma non vi è ancora niente di certo. I fondi dovrebbero ammontare a circa 750 milioni di euro. La cifra dovrebbe essere sufficiente per rivoluzionare tutti i servizi della PA rendendoli compatibili con ltalia.it. In tal modo si potrà raggiungere il tanto agognato accesso unico, da cui il cittadino possa compiere tutte le attività online della PA.
