Il sistema pubblico di identità digitale permette di accedere più agevolmente ai servizi della pubblica amministrazione. Attuando questa semplificazione, il legislatore ha comunque garantito il diritto alla protezione dei dati personali dell’interessato. Vediamo come.
SPID, che sarà obbligatorio dal 28 febbraio 2021, semplifica notevolmente la vita del cittadino. Questa identità digitale permette all’utente di accedere a tutti i servizi online della pubblica amministrazione attraverso una sola coppia di credenziali. Per registrarsi ai portali della pubblica amministrazione non è più necessario, quindi, ricordarsi tutti i diversi username e password utilizzati, ma è sufficiente inserire le credenziali SPID. Ciò consente all’utente, tra le altre cose, di accedere ai portali dell’INPS o dell’INAIL o di vedere l’estratto dei contributi per verificare quando poter andare in pensione in modo sicuramente facilitato. Alla luce dell’importanza delle operazioni che possono essere compiute con SPID, è bene conoscere le tutele per la privacy che il legislatore ha deciso di attuare in relazione al GDPR, il regolamento europeo per la protezione dei dati personali.
La conformità col GDPR nella fornitura del servizio
Una tutela è prevista già nella prima fase della procedura per ottenere le credenziali SPID. Si è infatti studiato un modo per rendere l’erogazione delle identità digitali sicura e trasparente. La fornitura è stata così commissionata a soggetti accreditati direttamente da AgID, agenzia per l’Italia Digitale. Questi soggetti, chiamati gestori di identità digitale o Identity Provider, per ottenere l’incarico hanno dovuto sottoscrivere una convenzione con AgID, da cui deriva la loro responsabilità giuridica al trattamento dei dati. I gestori diventano così titolari del trattamento dei dati ricevuti dai richiedenti SPID, e dovranno garantire il rispetto dei principi cardine del GDPR.
Un’altra garanzia deriva dalle misure adottate durante l’erogazione dell’identità digitale. Gli Identity provider, infatti, emettono le identità digitali previa identificazione e registrazione del richiedente. L’identificazione avviene tramite modalità appositamente studiate per contrastare il furto di identità: si richiede infatti la visione di un documento di riconoscimento e della tessera sanitaria o del tesserino del codice fiscale.
Tuttavia, SPID può essere richiesto anche su internet. Proprio in relazione a questa modalità, particolarmente utile durante l’emergenza Covid-19, erano emerse perplessità sul piano della privacy. Il Garante per la protezione dei dati personali ha però approvato queste modalità con il provvedimento n. 163 del 17 settembre 2020, ritenendo idonee le misure di sicurezza e le verifiche incrociate previste da AgID e aggiungendo a queste previsioni alcune richieste, fra cui la verifica dei dati acquisiti da parte dell’operatore deputato al rilascio dello SPID e poi ulteriori controlli “a campione” delle richieste da parte di un secondo operatore.
La conformità col GDPR nel trattamento dei dati
Al Gestore di Identità Digitale si applica la disciplina del titolare del trattamento prevista dal GDPR, di cui abbiamo già parlato in un altro articolo. Nello specifico, l’Identity Provider non può utilizzare i dati personali forniti dall’utente a fini commerciali o di profilazione e il trattamento deve essere conforme ai principi di pertinenza, finalità e non eccedenza. È inoltre espressamente vietata la cessione a terze parti senza autorizzazione da parte dell’interessato. L’Identity Provider è dunque responsabile verso l’interessato per il rispetto delle norme previste dal GDPR. Tuttavia, questo non può essere considerato responsabile per l’incauta gestione delle credenziali da parte dell’utilizzatore e per le conseguenze che da esse derivino. I gestori sono inoltre tenuti alla notifica degli incidenti di sicurezza o di data breach, a norma degli artt. 33 e 34 GDPR che sanciscono l’obbligo in capo al titolare di notificare la violazione dei dati all’autorità di controllo e di comunicare tale violazione agli interessati.
La sicurezza di SPID durante il suo utilizzo
Durante l’utilizzo il suo utilizzo, SPID è protetto da 3 livelli di sicurezza che operano per attività diverse. Il primo permette agli utenti di accedere ai servizi online mediante username e password. Questa modalità è quella standard, utilizzata nella maggior parte dei portali della pubblica amministrazione. Il secondo livello viene utilizzato per servizi che richiedono una sicurezza maggiore. Questo, oltre alle classiche credenziali SPID, richiede l’identificazione tramite l’inserimento di una OTP, One Time Password, generata sul momento e fornita dalla pubblica amministrazione all’utente via messaggio SMS o tramite app. Il terzo livello, infine, prevede l’utilizzo di dispositivi speciali: smart card o lettori di firma digitale. Garantisce indubbiamente il massimo livello di protezione dei dati, ma non è ancora entrato a pieno regime.
Daniele Dhoor Singh