Registro dei provvedimenti
n. 660 del 17 dicembre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere dell'Agenzia per l'Italia digitale;
Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO
1. L'Agenzia per l'Italia digitale (di seguito anche AGID) ha richiesto il parere del Garante su due schemi-tipo di convenzione fra l'AGID medesima, da un lato, e, rispettivamente, i gestori di identità digitale e le pubbliche amministrazioni in qualità di fornitori di servizi, dall'altro, da adottare ai sensi del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 (di seguito dPCM) recante la definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), sul cui schema il Garante ha reso parere in data 19 giugno 2014.
Inoltre, l'AGID ha nuovamente sottoposto a parere del Garante, in una versione aggiornata, lo schema di regolamento recante le modalità attuative per la realizzazione dello SPID, sul quale l'Autorità ha espresso un primo parere in data 4 giugno 2015 che riguardava, oltre allo schema di regolamento sulle modalità attuative, anche lo schema di regolamento dell'Agenzia relativo alle regole tecniche (parere n. 332 del 4 giugno 2015, doc. web n. 4257475).
L'articolo 4 del dPCM, infatti, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per definire, appunto, le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.
Riguardo agli schemi degli altri regolamenti dell'Agenzia previsti dal citato articolo 4 (concernenti, in particolare, l'accreditamento dei gestori di identità digitale e le procedure necessarie a consentire ai predetti gestori, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale), l'Autorità ha reso il proprio parere, in data 23 aprile scorso (pareri n. 237 e n. 238 del 23 aprile 2015, doc. web n. 3953079 e n. 3953181).
Infine, l'articolo 10, comma 2, del predetto dPCM prevede che l'AGID stipuli apposita convenzione con i gestori dell'identità digitale e disponga l'iscrizione degli stessi nel registro SPID.
Il presente parere –per evidenti ragioni di affinità di materia- si riferisce sia al nuovo schema di regolamento, sia allo schema di convenzione-tipo concernente, appunto, i gestori dell'identità digitale. Il Garante si esprimerà in prosieguo sull'altro schema di convenzione, relativo all'adesione a SPID da parte delle pubbliche amministrazioni, in qualità di fornitori di servizi.
RILEVATO
2. Il Garante riconnette particolare importanza alla materia in esame per le implicazioni che ne possono derivare sotto il profilo della tutela della riservatezza e della protezione dei dati personali; in ragione di ciò, il nuovo schema di regolamento e lo schema di convenzione sono stati elaborati dall'AGID all'esito di riunioni e interlocuzioni avute con l'Ufficio del Garante, modificando e integrando l'originaria formulazione di alcuni articoli in coerenza con i rilievi e le osservazioni formulati durante il tavolo tecnico.
2.1. Il regolamento sulle modalità attuative di SPID.
Per quanto riguarda lo schema di regolamento, l'Autorità prende innanzitutto atto che nel testo è stato inserito l'articolo 32-bis, riguardante la collaborazione fra l'AGID e il Garante, già oggetto di una specifica condizione nel precedente parere (cfr. punto 5.21. del parere cit. del 4 giugno 2015).
Lo schema presenta inoltre alcuni mirati perfezionamenti, volti a rendere il regolamento pienamente conforme ai principi e alle garanzie in materia di protezione dei dati personali, che l'Autorità aveva già evidenziato nel precedente parere. Tali perfezionamenti sono il frutto di ulteriori approfondimenti svolti in collaborazione fra l'Ufficio del Garante e i rappresentanti dell'Agenzia.
Le integrazioni riguardano in particolare
• una maggiore coerenza fra il testo del regolamento e il d.P.C.M.;
• il rafforzamento dei controlli posti in essere dall'AGID in tema di sicurezza informatica e protezione dei dati personali;
• il rafforzamento della sicurezza delle procedure di identificazione in remoto;
• una più puntuale definizione di adeguate modalità di conservazione della documentazione inerente alla creazione e al rilascio dell'identità digitale (ivi comprese le registrazioni audio/video acquisite nel caso d'identificazione in remoto);
• la specificazione delle caratteristiche del servizio di segnalazione all'utente dell'avvenuto utilizzo delle sue credenziali;
• una migliore esplicitazione in merito alle procedure di sospensione e revoca dei gestori.
Nondimeno si rileva che, in ragione della complessità e dell'importanza della materia, resta l'esigenza di apportare allo schema di regolamento alcuni ulteriori perfezionamenti, nei termini di seguito descritti:
a) all'articolo 2, deve essere perfezionata la descrizione dei livelli di sicurezza delle identità digitali SPID al fine di garantire una maggiore coerenza della disposizione con quanto previsto all'art. 8 del Regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di livelli di garanzia dei mezzi di identificazione elettronica. In particolare, al fine di eliminare ogni ambiguità del testo, occorre specificare che il rischio menzionato nel medesimo articolo per descrivere i differenti livelli di sicurezza delle identità digitali riguarda l'uso abusivo o l'alterazione dell'identità. Al riguardo, va precisato che il livello 1 è caratterizzato da un'affidabilità e una qualità delle specifiche tecniche, norme e procedure dello strumento di identificazione elettronica tali da ridurre il rischio di uso abusivo o di alterazione dell'identità; al livello 2 l'affidabilità e la qualità delle predette specifiche tecniche, norme e procedure è tale da ridurre significativamente il predetto rischio, mentre al livello 3 l'affidabilità e la qualità delle stesse specifiche, norme e procedure è tale da impedire l'uso abusivo o l'alterazione dell'identità. Ciò, al fine di mantenere un'opportuna distinzione tra la valutazione, in capo ai gestori dell'identità digitale, del livello di affidabilità e sicurezza dei sistemi di identificazione elettronica predisposti, e, quella, in capo ai fornitori di servizi, dell'impatto per gli utenti interessati di un utilizzo improprio delle loro identità SPID in relazione all'accesso a differenti tipologie di servizi elettronici offerti;
b) l'articolo 8 va ulteriormente perfezionato specificando che se il gestore dell'identità digitale fornisce solo l'identificazione da remoto, come modalità per la verifica dell'identità del richiedente, ciò deve essere messo in specifica evidenza, oltre che nelle condizioni e termini del contratto, anche nell'informativa da rendere all'interessato ai sensi dell'articolo 13 del Codice;
c) all'articolo 28 è necessario espungere il termine "di trasmissione" che sembra il frutto di un refuso.
2.2.. La convenzione-tipo relativa ai gestori dell'identità digitale.
Quanto alla convenzione relativa ai gestori dell'identità digitale, essa appare sostanzialmente conforme alle indicazioni rese dall'Ufficio del Garante nel quadro delle predette interlocuzioni.
In particolare è stato migliorato il contenuto della convenzione relativamente a:
• la coerenza fra il testo della convenzione e il Regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDASS), il dPCM e i regolamenti attuativi adottati dall'AGID;
• le garanzie previste dalla normativa sulla protezione dei dati personali nel caso in cui il gestore si avvalga di soggetti esterni per la fornitura del servizio d'identità digitale;
• la specificazione degli obblighi del gestore riguardo al trattamento dei dati personali;
• gli obblighi in capo ai gestori relativi alle misure di sicurezza e agli strumenti crittografici adottati, con particolare riguardo alla loro adeguatezza rispetto agli standard riconosciuti in ambito europeo e internazionale;
• gli obblighi dei gestori nei confronti degli utenti, relativi in particolare all'accesso da parte di questi ultimi alle informazioni relative ai servizi da essi erogati e alla disponibilità di indicazioni semplici e chiare circa le caratteristiche e il funzionamento del sistema SPID;
• le modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali;
• le procedure che l'AGID è tenuta ad adottare in caso di inadempimenti del gestore.
Anche in questo caso, in ragione della complessità e dell'importanza della materia, si segnala l'esigenza di apportare al provvedimento alcune indicazioni, nei termini di seguito descritti:
a) occorre inserire all'articolo 2, comma 1, lett. a) dello schema l'esplicito riferimento all'articolo 29 del Codice riguardo al caso in cui il gestore si avvalga di soggetti esterni per la fornitura del sevizio d'identità digitale;
b) è necessario sostituire nell'articolo 2, comma 2, lett. g) la formula "una periodicità inferiore ai due giorni lavorativi previsti" con la seguente: "una periodicità inferiore ai tre giorni lavorativi previsti".
IL GARANTE
a) esprime parere favorevole sullo schema di regolamento dell'Agenzia per l'Italia digitale recante le modalità attuative per la realizzazione dello SPID, evidenziando la necessità di apportare allo schema i perfezionamenti indicati al punto 2.1.;
b) esprime parere favorevole sullo schema di convenzione relativa ai gestori dell'identità digitale, evidenziando la necessità di apportare allo schema-tipo i perfezionamenti indicati al punto 2.2..
Roma, 17 dicembre 2015
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia