Accedi Area riservata
lentepubblica
lentepubblica


SPID e trattamento dei dati personali: alcuni chiarimenti

lentepubblica.it • 28 Ottobre 2021

spid-trattamento-dati-personaliSPID e trattamento dei dati personali: nell’approfondimento odierno alcuni chiarimenti utili in merito.

Come molti ormai sanno prima, per accedere alle informazioni ad uno sportello sanitario o per iscriversi ad un bando di concorso pubblico, bastava esibire la carta di identità e fornire le proprie generalità. Adesso non basta più.

Adesso infatti è il momento di accedere a tutti i servizi della Pubblica Amministrazione tramite lo SPID, la nuova identità digitale.

In questo articolo ci soffermeremo sul trattamento dei dati personali riguardanti la registrazione allo SPID e il suo utilizzo.

SPID e trattamento dei dati personali: alcuni chiarimenti

Qui di seguito alcune indicazioni comuni, a titolo esemplificativo, sul trattamento dei dati personali ai fini SPID da parte degli identity provider.

In linea di massima i gestori, per fornire il Servizio, trattano dati personali cosiddetti comuni, ossia dati diversi dalle particolari categorie indicate all’art. 9 GDPR (quali i dati sull’origine etnica o i dati relativi alla salute).

Dati comuni necessari

Ai sensi dell’art. 5 del Regolamento recante le modalità attuative per la realizzazione dello SPID (cfr. art. 4, co. 2, DPCM 24 ottobre 2014) i dati necessari per la registrazione di una nuova identità SPID sono i seguenti:

  • indirizzo mail (può essere utilizzato anche come username) necessario per tutte le
    comunicazioni nonché per le verifiche con la One Time Password (“OTP”, una particolare
    misura di sicurezza che consiste in una password valida solo per una singola sessione di
    accesso)
  • numero di cellulare, indispensabile per l’autenticazione di secondo livello nel caso venga inviato l’OTP via sms, e per l’eventuale invio di comunicazioni di servizio;
  • tutti i dati necessari al completamento degli attributi identificativi e secondari necessari,
    diversi a seconda che l’Interessato sia una persona fisica o giuridica:

    • se persona fisica:
      • nome e cognome
      • codice fiscale
      • data/luogo di nascita/cittadinanza
      • sesso
      • estremi del documento d’identità (passaporto, patente di guida o carta d’identità)
      • e i dati relativi agli attributi secondari;
    • se persona giuridica:
      • ragione sociale/denominazione,
      • P.IVA/Codice Fiscale
      • sede legale
      • soggetto con poteri di rappresentanza
      • estremi del documento d’identità del soggetto legale rappresentante
      • certificazione attestante lo stato di amministratore o rappresentante legale per conto della società (visura camerale, atto notarile)
      • e i dati relativi agli attributi secondari.

Attributi secondari

Per gli attributi secondari, sono forniti almeno un indirizzo di posta elettronica e un recapito di telefonia mobile, entrambi verificati dal Gestore di Identità Digitale nel corso del processo  di identificazione, inviando un messaggio di posta all’indirizzo dichiarato, contenente una URL per la verifica e un SMS al numero di cellulare con un codice numerico di controllo che  deve essere riportato in risposta.

Anche il Garante della Privacy si è pronunciato sulle modalità bonus-600-euro-parlamentari-garante-privacy

Infine, in un recente intervento, il Garante della Privacy ha dato l’ok alle nuove modalità di rilascio delle identità digitali mediante il riconoscimento da remoto, grazie alle modifiche delle modalità attuative dello Spid (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese), proposte dall’Agid (Agenzia per l’Italia digitale).

In sintesi, per ottenere Spid con la nuova modalità, il richiedente, dopo una prima registrazione sul sito del gestore, dovrà avviare una sessione automatica audio-video, durante la quale mostrerà il proprio documento di riconoscimento e il tesserino del codice fiscale o la tessera sanitaria.

In più, per evitare tentativi di furti di identità, la procedura è stata rafforzata con specifiche misure di sicurezza e verifiche incrociate: durante la sessione audio-video, infatti il richiedente dovrà leggere un codice ricevuto via sms o tramite un’apposita App installata sul cellulare personale.

È inoltre previsto che il richiedente effettui un bonifico da un conto corrente italiano a lui intestato o cointestato, indicando nella causale uno specifico codice precedentemente ricevuto.

Tutte queste informazioni e la registrazione audio-video saranno in seguito verificate dall’operatore di back-office che procederà al rilascio dell’identità digitale.

Le ulteriori raccomandazioni del Garante

Nel corso delle interlocuzioni per il rilascio del parere, come ulteriore misura di garanzia e per poter valutare l’affidabilità della procedura, il Garante per la privacy ha chiesto che il gestore dell’identità digitale sottoponga a ulteriori controlli a campione le richieste, facendo verificare nuovamente l’audio-video a un secondo operatore.

Al termine di un periodo di test di sei mesi delle nuove procedure, l’AgID dovrà trasmettere al Garante un report con l’esito di queste verifiche, così da valutare l’efficacia del controllo di secondo livello.

L’AgIDdovrà poi inviare al Garante i report settimanali, redatti dai gestori Spid, relativi alle richieste di rilascio respinte per profili critici connessi al trattamento dei dati personali e configurabili come tentativi fraudolenti.

Tali riscontri potranno essere utili al Garante per svolgere eventuali accertamenti e valutare la necessità di individuare ulteriori misure tecniche e organizzative per rafforzare il procedimento di identificazione da remoto.

 

Fonte: articolo di redazione lentepubblica.it
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments

Continua a leggere...

Videosorveglianza e privacy nei Comuni: attenzione alle sanzioni e all’Intelligenza Artificiale
*a cura del Dottor Emanuele Cofanelli – Ideapubblica Srl Un’indagine condotta nel 2022 dall’Osservatorio di Federprivacy, l’associazione italiana che raduna…
Utilizzo dati biometrici: cosa consente l’AI Act e cosa no
Ecco un riepilogo e alcuni spunti critici per quanto riguarda la disciplina dell’utilizzo dei dati biometrici all’interno dell’AI Act, approvato…
Videosorveglianza con Intelligenza Artificiale: Garante privacy sanziona Comune di Trento
Il Garante della Privacy ha emesso una significativa sanzione nei confronti del Comune di Trento: rilevate violazioni della normativa sulla…

Notizie più lette

Chiarimenti sull’elenco dei profili professionali nel CCNL enti locali
Ecco alcuni interessanti chiarimenti sull’elenco dei profili professionali inseriti all’interno del comparto degli Enti locali a seguito dell’approvazione del CCNL…
Come funziona il Bonus università private 2024?
Vediamo cos’è il Bonus università private 2024, quali sono gli importi dell’agevolazione e quali sono i requisiti per ottenerla. Confermato…
Si possono riaccendere i termosifoni in Italia?
L’Italia è stata colpita da un’inaspettata ondata di gelo e i Comuni corrono ai ripari, ma si possono riaccendere i…
lentepubblica
Per inviare notizie o comunicati
comunicati@lentepubblica.it
Per informazioni commerciali
marketing@lentepubblica.it
Posta Elettronica certificata (PEC)
info@pec.lentepubblica.it
Seguici su
lentepubblica.it è una testata giornalistica registrata al Tribunale di Catania n.18 del 21/12/2017
©2019 - 2024 lentepubblica.it
Iscriviti al canale Telegram di Lentepubblica.it. Stay tuned!
  Iscriviti  al nostro canale Telegram! Rimani sempre aggiornato ed…