SPID: le critiche mosse al nuovo sistema dal Garante della Privacy

Con provvedimento del 23 aprile 2015 il Garante privacy ha espresso un parere (richiesto dall’Agenzia per l’Italia Digitale) sullo schema di regolamento – adottato ai sensi del DPCM 24 ottobre 2014 – recante le modalità per l’accreditamento e la vigilanza sui gestori per l’identità digitale.

Il citato DPCM, contenente la definizione delle caratteristiche del Sistema Pubblico per la gestione dell’Identità Digitale, prevede, infatti – all’art. 4, comma 3 – che AgID definisca con un proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio appunto dell’identità digitale, previo parere dell’Autorità Garante.

Il Garante, nel proprio provvedimento, dopo aver effettuato una ricognizione dei punti del regolamento considerati salienti, come i requisiti per l’accreditamento, la presentazione per la domanda con i documenti indispensabili da allegare alla stessa, l’iter istruttorio e il piano di sicurezza, si sofferma sulla particolare importanza dei trattamenti dei dati personali previsti: il Garante ha sollevato l’attenzione sui rischi di furto, uso abusivo o alterazione dell’identità degli interessati e del necessario elevato grado di sicurezza che dovrà essere predisposto per i dati e i sistemi.

Per questi motivi, considerata la complessità della materia trattata, già in fase di redazione dello schema di regolamento gli uffici del Garante avevano avuto modo di confrontarsi con AgID per rilevare le criticità e formulare indicazioni, al fine di rendere le disposizioni pienamente conformi alla disciplina in materia di dati personali.

In particolare, le indicazioni date dall’Ufficio del Garante avevano riguardato:

– un più attento coordinamento con la normativa di settore, in particolare con il DPCM 24 ottobre 2014;

– l’indicazione, tra i soggetti responsabili delle specifiche funzioni individuate dall’Agenzia, del referente per la protezione dei dati personali;

– l’integrazione, nell’ambito dell’attività effettuata da AgID, della collaborazione con il Garante Privacy (ad esempio, in riferimento alla previsione secondo cui AgID informi il Garante di possibili violazioni della normativa in materia di protezione dei dati personali evidenziatesi nel corso della vigilanza);

– il rafforzamento e la razionalizzazione delle misure di protezione dei dati e dei sistemi, al fine di garantire un elevato livello di sicurezza, adeguato all’estrema delicatezza dei trattamenti (in riferimento a tali aspetti, su indicazione del Garante, è stato descritto nel dettaglio il processo di accreditamento e l’attività di vigilanza svolta da AgID nei confronti dei gestori accreditati, nonché i requisiti formativi e curriculari delle figure professionali con responsabilità in attività connesse alla sicurezza, alla conduzione dei sistemi, alle verifiche e ispezioni, alla formazione del personale, alla conservazione dei documenti);

– una descrizione più dettagliata del processo di approvazione delle soluzioni tecnologiche di autenticazione informatica, con particolare riguardo all’individuazione delle diverse fasi, alla documentazione presentata, alle prove tecniche necessarie e all’attività di valutazione posta in capo ad AgID.

Nel regolamento oggetto del parere, tuttavia, il Garante ha voluto, anche in considerazione della delicatezza delle questioni trattate, apportare allo schema alcune ulteriori modifiche, che evidentemente non erano state pienamente recepite nelle fasi preliminari della redazione della bozza di regolamento.

Il Garante, quindi, ha espresso parere favorevole allo schema di regolamento proposto da AgID, ma solo a condizione che vengano apportate alle disposizioni le ulteriori modifiche indicate. In particolare:

– il paragrafo 1 del regolamento deve essere integrato con il requisito di una precipua conoscenza nel settore della protezione dei dati personali da parte del personale dei gestori di identità digitale che intendono conseguire l’accreditamento;

– sempre nel paragrafo 1, deve essere aggiunta una specifica previsione che disponga, per il gestore destinatario di un provvedimento di revoca, l’obbligo di sospendere il servizio di identificazione elettronica entro le successive 12 ore, dandone contestuale comunicazione agli utenti: ciò al fine di minimizzare i rischi di un uso delle identità rilasciate non conforme ai requisiti stabiliti dal DPCM 24 ottobre 2014, i cui effetti potrebbero comportare non solo un potenziale danno ai titolari delle stesse identità, ma anche al livello di fiducia di tutti gli utenti nella sicurezza del sistema SPID;

– ancora al paragrafo 1, è necessario coordinare la previsione secondo cui l’Agenzia “per espletare le attività per l’accreditamento dei gestori e per svolgere le connesse funzioni di vigilanza” possa avvalersi “di apposita struttura, istituita nell’ambito delle proprie dotazioni organiche”, con quanto stabilito nel punto 7 dello stesso regolamento, in cui si stabilisce la possibilità che l’esecuzione delle verifiche ispettive possa essere demandata dall’Agenzia a soggetti terzi;

– nell’ultimo capoverso del paragrafo 7, le parole: “dei regolamenti” devono essere sostituite da: “della normativa”;

– infine, anche nell’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento vengono indicati alcuni punti da sostituire, con l’obiettivo di dare maggiore evidenza alla misure adottate per la protezione dei dati e dei sistemi. In particolare, il Garante indica l’introduzione di una disposizione che comporti, da parte del gestore dell’identità digitale che intende accreditarsi presso AgID, la produzione di copia del piano della sicurezza (cifrato con la chiave pubblica che AgID dovrà rendere disponibile) che evidenzi le idonee misure di sicurezza adottate – ai sensi dell’art. 31 del Codice Privacy – rispetto ai rischi di distruzione e perdita dei dati personali, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di furto, uso abusivo o alterazione di identità, nonché di ripudio o disconoscimento di una transazione;

– sempre relativamente all’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento ad AgID, il garante prescrive – per le medesime finalità di sicurezza – una modifica volta a prevedere la produzione da parte dei gestori di identità digitali di una specifica relazione che descriva i trattamenti di dati personali effettuati, riportandone le informazioni essenziali e le misure di sicurezza messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati e di correttezza del trattamento, nonché l’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica.

All’esito del parere appena reso dal Garante privacy, dunque, previa modifica del testo in base alle sue importanti indicazioni, si attende la definitiva adozione da parte di AgID di questo e degli altri regolamenti sul Sistema Pubblico per la gestione dell’Identità Digitale, in modo che possano finalmente attuarsi le norme già da tempo previste dall’art. 64, commi 2 e ss., del CAD (D.Lgs. 82/2005) e dal più recente DPCM 24 ottobre 2014 sullo SPID.

Risulta fondamentale, tuttavia, ricercare e garantire l’assoluta certezza della corretta associazione tra identità digitale e identità fisica. Questo deve essere considerato un presupposto indefettibile per una corretta realizzazione del Sistema Pubblico di Identità Digitale a cui va prestata grande attenzione.

Inoltre, ai fini della realizzazione di un sistema conforme alla normativa, sicuro e affidabile, il diritto dell’informatica e la sicurezza informatica devono necessariamente recitare un ruolo da protagonisti: per questo i relativi temi devono trovare ampio spazio in tutti i tavoli di lavoro e di confronto per la predisposizione delle norme e dei regolamenti sullo SPID.

Da ultimo, in riferimento alle tempistiche di realizzazione e adeguamento delle infrastrutture informatiche necessarie allo SPID, si segnala che secondo alcune indiscrezioni giornalistiche, dal prossimo ottobre dovrebbero essere disponibili i primi servizi della PA compatibili con il Sistema. Il portale scelto per ospitare il cosiddetto Italia login dovrebbe essere italia.it (già predisposto per il turismo). Lo stanziamento dei fondi – parte di quelli europei 2014-2020 – dovrebbe ammontare a circa 750 milioni di euro, una cifra non di poco conto, che dovrebbe essere sufficiente per rivoluzionare tutti i servizi della PA rendendoli compatibili con Iltalia.it, al fine di raggiungere il tanto agognato accesso unico, da cui il cittadino possa compiere tutte le attività messe a disposizione in rete dalla Pubblica Amministrazione.