SPID e trattamento dei dati personali: nell’approfondimento odierno alcuni chiarimenti utili in merito.
Come molti ormai sanno prima, per accedere alle informazioni ad uno sportello sanitario o per iscriversi ad un bando di concorso pubblico, bastava esibire la carta di identità e fornire le proprie generalità. Adesso non basta più.
Adesso infatti è il momento di accedere a tutti i servizi della Pubblica Amministrazione tramite lo SPID, la nuova identità digitale.
In questo articolo ci soffermeremo sul trattamento dei dati personali riguardanti la registrazione allo SPID e il suo utilizzo.
SPID e trattamento dei dati personali: alcuni chiarimenti
Qui di seguito alcune indicazioni comuni, a titolo esemplificativo, sul trattamento dei dati personali ai fini SPID da parte degli identity provider.
In linea di massima i gestori, per fornire il Servizio, trattano dati personali cosiddetti comuni, ossia dati diversi dalle particolari categorie indicate all’art. 9 GDPR (quali i dati sull’origine etnica o i dati relativi alla salute).
Dati comuni necessari
Ai sensi dell’art. 5 del Regolamento recante le modalità attuative per la realizzazione dello SPID (cfr. art. 4, co. 2, DPCM 24 ottobre 2014) i dati necessari per la registrazione di una nuova identità SPID sono i seguenti:
- indirizzo mail (può essere utilizzato anche come username) necessario per tutte le
comunicazioni nonché per le verifiche con la One Time Password (“OTP”, una particolare
misura di sicurezza che consiste in una password valida solo per una singola sessione di
accesso) - numero di cellulare, indispensabile per l’autenticazione di secondo livello nel caso venga inviato l’OTP via sms, e per l’eventuale invio di comunicazioni di servizio;
- tutti i dati necessari al completamento degli attributi identificativi e secondari necessari,
diversi a seconda che l’Interessato sia una persona fisica o giuridica:- se persona fisica:
- nome e cognome
- codice fiscale
- data/luogo di nascita/cittadinanza
- sesso
- estremi del documento d’identità (passaporto, patente di guida o carta d’identità)
- e i dati relativi agli attributi secondari;
- se persona giuridica:
- ragione sociale/denominazione,
- P.IVA/Codice Fiscale
- sede legale
- soggetto con poteri di rappresentanza
- estremi del documento d’identità del soggetto legale rappresentante
- certificazione attestante lo stato di amministratore o rappresentante legale per conto della società (visura camerale, atto notarile)
- e i dati relativi agli attributi secondari.
- se persona fisica:
Attributi secondari
Per gli attributi secondari, sono forniti almeno un indirizzo di posta elettronica e un recapito di telefonia mobile, entrambi verificati dal Gestore di Identità Digitale nel corso del processo di identificazione, inviando un messaggio di posta all’indirizzo dichiarato, contenente una URL per la verifica e un SMS al numero di cellulare con un codice numerico di controllo che deve essere riportato in risposta.
Anche il Garante della Privacy si è pronunciato sulle modalità
Infine, in un recente intervento, il Garante della Privacy ha dato l’ok alle nuove modalità di rilascio delle identità digitali mediante il riconoscimento da remoto, grazie alle modifiche delle modalità attuative dello Spid (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese), proposte dall’Agid (Agenzia per l’Italia digitale).
In sintesi, per ottenere Spid con la nuova modalità, il richiedente, dopo una prima registrazione sul sito del gestore, dovrà avviare una sessione automatica audio-video, durante la quale mostrerà il proprio documento di riconoscimento e il tesserino del codice fiscale o la tessera sanitaria.
In più, per evitare tentativi di furti di identità, la procedura è stata rafforzata con specifiche misure di sicurezza e verifiche incrociate: durante la sessione audio-video, infatti il richiedente dovrà leggere un codice ricevuto via sms o tramite un’apposita App installata sul cellulare personale.
È inoltre previsto che il richiedente effettui un bonifico da un conto corrente italiano a lui intestato o cointestato, indicando nella causale uno specifico codice precedentemente ricevuto.
Tutte queste informazioni e la registrazione audio-video saranno in seguito verificate dall’operatore di back-office che procederà al rilascio dell’identità digitale.
Le ulteriori raccomandazioni del Garante
Nel corso delle interlocuzioni per il rilascio del parere, come ulteriore misura di garanzia e per poter valutare l’affidabilità della procedura, il Garante per la privacy ha chiesto che il gestore dell’identità digitale sottoponga a ulteriori controlli a campione le richieste, facendo verificare nuovamente l’audio-video a un secondo operatore.
Al termine di un periodo di test di sei mesi delle nuove procedure, l’AgID dovrà trasmettere al Garante un report con l’esito di queste verifiche, così da valutare l’efficacia del controllo di secondo livello.
L’AgIDdovrà poi inviare al Garante i report settimanali, redatti dai gestori Spid, relativi alle richieste di rilascio respinte per profili critici connessi al trattamento dei dati personali e configurabili come tentativi fraudolenti.
Tali riscontri potranno essere utili al Garante per svolgere eventuali accertamenti e valutare la necessità di individuare ulteriori misure tecniche e organizzative per rafforzare il procedimento di identificazione da remoto.
Fonte: articolo di redazione lentepubblica.it