SPID e trattamento dei dati personali: nell’approfondimento odierno alcuni chiarimenti utili in merito.
Come molti ormai sanno prima, per accedere alle informazioni ad uno sportello sanitario o per iscriversi ad un bando di concorso pubblico, bastava esibire la carta di identità e fornire le proprie generalità. Adesso non basta più.
Adesso infatti è il momento di accedere a tutti i servizi della Pubblica Amministrazione tramite lo SPID, la nuova identità digitale.
In questo articolo ci soffermeremo sul trattamento dei dati personali riguardanti la registrazione allo SPID e il suo utilizzo.
Indice dei contenuti
Qui di seguito alcune indicazioni comuni, a titolo esemplificativo, sul trattamento dei dati personali ai fini SPID da parte degli identity provider.
In linea di massima i gestori, per fornire il Servizio, trattano dati personali cosiddetti comuni, ossia dati diversi dalle particolari categorie indicate all’art. 9 GDPR (quali i dati sull’origine etnica o i dati relativi alla salute).
Ai sensi dell’art. 5 del Regolamento recante le modalità attuative per la realizzazione dello SPID (cfr. art. 4, co. 2, DPCM 24 ottobre 2014) i dati necessari per la registrazione di una nuova identità SPID sono i seguenti:
Per gli attributi secondari, sono forniti almeno un indirizzo di posta elettronica e un recapito di telefonia mobile, entrambi verificati dal Gestore di Identità Digitale nel corso del processo di identificazione, inviando un messaggio di posta all’indirizzo dichiarato, contenente una URL per la verifica e un SMS al numero di cellulare con un codice numerico di controllo che deve essere riportato in risposta.
Infine, in un recente intervento, il Garante della Privacy ha dato l’ok alle nuove modalità di rilascio delle identità digitali mediante il riconoscimento da remoto, grazie alle modifiche delle modalità attuative dello Spid (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese), proposte dall’Agid (Agenzia per l’Italia digitale).
In sintesi, per ottenere Spid con la nuova modalità, il richiedente, dopo una prima registrazione sul sito del gestore, dovrà avviare una sessione automatica audio-video, durante la quale mostrerà il proprio documento di riconoscimento e il tesserino del codice fiscale o la tessera sanitaria.
In più, per evitare tentativi di furti di identità, la procedura è stata rafforzata con specifiche misure di sicurezza e verifiche incrociate: durante la sessione audio-video, infatti il richiedente dovrà leggere un codice ricevuto via sms o tramite un’apposita App installata sul cellulare personale.
È inoltre previsto che il richiedente effettui un bonifico da un conto corrente italiano a lui intestato o cointestato, indicando nella causale uno specifico codice precedentemente ricevuto.
Tutte queste informazioni e la registrazione audio-video saranno in seguito verificate dall’operatore di back-office che procederà al rilascio dell’identità digitale.
Nel corso delle interlocuzioni per il rilascio del parere, come ulteriore misura di garanzia e per poter valutare l’affidabilità della procedura, il Garante per la privacy ha chiesto che il gestore dell’identità digitale sottoponga a ulteriori controlli a campione le richieste, facendo verificare nuovamente l’audio-video a un secondo operatore.
Al termine di un periodo di test di sei mesi delle nuove procedure, l’AgID dovrà trasmettere al Garante un report con l’esito di queste verifiche, così da valutare l’efficacia del controllo di secondo livello.
L’AgIDdovrà poi inviare al Garante i report settimanali, redatti dai gestori Spid, relativi alle richieste di rilascio respinte per profili critici connessi al trattamento dei dati personali e configurabili come tentativi fraudolenti.
Tali riscontri potranno essere utili al Garante per svolgere eventuali accertamenti e valutare la necessità di individuare ulteriori misure tecniche e organizzative per rafforzare il procedimento di identificazione da remoto.
Fonte: articolo di redazione lentepubblica.it