Diritto

Continua la corsa del Sistema Pubblico per l’Identità digitale (SPID)

AGID ha sottoposto al Garante una versione aggiornata dello schema di Regolamento recante le modalità attuative di SPID (Sistema Pubblico per l’Identità Digitale), sul quale il Garante Privacy si era già espresso favorevolmente in data 4 giugno 2015, con un parere che riguardava, oltre allo schema di regolamento sulle modalità attuative, anche lo schema di regolamento dell'Agenzia relativo alle regole tecniche (Parere n. 332 del 4 giugno 2015, doc. web n. 4257475). Nonostante il Garante abbia accolto favorevolmente tale nuova versione dello schema di regolamento (la quale, nel complesso è stata allineata maggiormente ai principi e al rispetto della privacy di ogni individuo, garantendo maggiore sicurezza nelle procedure di rilascio e gestione delle Identità Digitali) e la convenzione-tipo che i Gestori dell’Identità Digitale sono tenuti a stipulare con AGID, nel rispetto dell’art.10, co.2, DPCM 24 ottobre 2014, ha manifestato la necessità che vengano apportate ulteriori correzioni al regolamento.

In particolare, il Garante rileva che:

  1. è necessario perfezionare la descrizione dei livelli di sicurezza di cui all’art.2 dello schema di Regolamento, per conformarli ai livelli di garanzia dei mezzi di identificazione elettronica descritti nel Regolamento Europeo n. 910/2014. A tal proposito, il Garante propone di specificare nel regolamento attuativo che il rischio menzionato nel medesimo articolo per descrivere i differenti livelli di sicurezza delle identità digitali riguarda l'uso abusivo o l'alterazione dell'identità;
  2. se il Gestore dell’Identità Digitale fornisce solo la possibilità per l’individuo che richiede il rilascio dell’Identità Digitale di identificarsi da remoto, questa possibilità va indicata esplicitamente, non solo nel contratto, ma anche nell’informativa, ex art. 13.

In relazione alla convenzione-tipo, invece il Garante ha stabilito che nel complesso la convenzione, rispetto alla prima bozza, è stata di molto migliorata, in particolare nei seguenti punti:

  • maggiore coerenza fra il testo della convenzione e il Regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDASS), il DPCM e i regolamenti attuativi adottati dall'AGID;
  • fornite le garanzie previste dalla normativa sulla protezione dei dati personali nel caso in cui il gestore si avvalga di soggetti esterni per la fornitura del servizio d'identità digitale;
  • specificati gli obblighi del gestore riguardo al trattamento dei dati personali; gli obblighi in capo ai gestori relativi alle misure di sicurezza e agli strumenti crittografici adottati, con particolare riguardo alla loro adeguatezza rispetto agli standard riconosciuti in ambito europeo e internazionale e gli obblighi dei gestori nei confronti degli utenti, relativi in particolare all'accesso da parte di questi ultimi alle informazioni relative ai servizi da essi erogati e alla disponibilità di indicazioni semplici e chiare circa le caratteristiche e il funzionamento del sistema SPID;
  • perfezionate le modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali e le procedure che l'AGID è tenuta ad adottare in caso di inadempimenti da parte del gestore.

Prosegue, dunque, il percorso dell’amministrazione italiana verso il digitale. Nel mese di dicembre, tre aspiranti Gestori dell’Identità Digitale, sono stati riconosciuti da AGID come soggetti qualificati e, rispondendo alle caratteristiche richieste dalla normativa, hanno ottenuto l’accreditamento. Si parla di: InfoCert S.p.a, Poste Italiane S.p.a e Telecom Italia Trust Technologies Srl. Pertanto, da questo nuovo anno, potranno essere iscritti nel registro dei gestori dell’Identità Digitale e partire con il rilascio delle prime credenziali ai cittadini e alle imprese che intendono ottenere le proprie Identità Digitali. AgID insieme al Garante Privacy vigileranno sul loro operato e sul rispetto delle regole.

Tra gli obiettivi di AGID (Agenzia per l’Italia Digitale) per il 2016 vi sono tre progetti fondamentali (l’Anagrafe unica digitale, i Pagamenti Elettronici e la definitiva entrata in vigore del Sistema Pubblico di Identità Digitale), verso i quali puntano le amministrazioni centrali e territoriali per giungere a completare il percorso di modernizzazione che porterà a Italia Login, una piattaforma unica che semplificherà il rapporto tra amministrazione e cittadini.