In particolare, lo schema oggetto del parere prevede che al compimento dei 14 anni di età è possibile per un minorenne ottenere lo Spid, affinché egli possa accedere ai servizi offerti dalla Pubblica Amministrazione.
Tuttavia, nello schema di Linee guida predisposte dall’Agid è stato previsto che i soggetti, infraquattrodicenni ed ultraquattoridicenni, non possono richiedere autonomamente lo Spid, bensì per i medesimi è necessaria la previa richiesta dei genitori o di coloro che esercitano la responsabilità genitoriale su di essi.
Il capitolo 4 indica, infatti, una procedura dettagliata per il rilascio di Spid ai minori, prevedendo una serie di passaggi che devono essere posti in essere dal genitore e da colui che esercita la responsabilità genitoriale sul ragazzo minore di età.
Lo schema, poi, si occupa di indicare le responsabilità dei fornitori dei servizi, detti ISP, i quali hanno l’obbligo di effettuare una ponderata valutazione in ordine alla necessità di conoscere l’identità del minore e ottenere la certezza della sua identità in ordine alle finalità del Servizio fornito.
Viene anche definita la possibilità, per il genitore, di richiedere la revoca o la sospensione dello SPID. Tale servizio deve essere predisposto anche a favore del minore ultraquattordicenne, per il quale deve essere messo a disposizione un servizio per una gestione autonoma della propria identità digitale e che preveda almeno la possibilità di sospensione di tale identità.
Per quanto riguarda il servizio di revoca, invece, viene previsto che, non appena il minore raggiunge la maggiore età, gli deve essere inviato un messaggio affinché lo stesso possa autonomamente revocare la propria identità digitale. Nel caso in cui il maggiorenne non richieda la revoca, l’identità digitale rimarrà attiva, ma è previsto che siano eliminati “i legami” con l’identità digitale del genitore, che invece sono necessari fino al raggiungimento della maggiore età.
>> Leggi il parere del Garante privacy, 2 febbraio 2022, sullo schema di Linee guida operative per la fruizione dei servizi SPID da parte dei minori
I moniti e le integrazioni richieste dal Garante
Il Garante in merito al suddetto schema di Linee Guida ha osservato che vi sono rischi connessi al trattamento dei dati personali. Allo scopo, dunque, di assicurare il rispetto dei diritti e delle libertà dei soggetti minorenni, nel rispetto dei principi di proporzionalità e liceità e minimizzazione dei dati (art. 5 GDPR), l’Autorità ha ritenuto adeguato escludere i minori infraquattordicenni dall’applicazione delle Linee Guida in esame, limitando per essi l’impiego di Spid esclusivamente al mondo della scuola e introducendo, per un periodo sperimentale, ossia fino al 30 giugno 2023, l’utilizzo dello spid per tali soggetti solo al fine di usufruire dei soli servizi offerti in ambito scolastico.
A tale decisione, il Garante è pervenuto in applicazione della previsione di cui all’art. 2-quinquiens del Codice privacy, il quale esclude che possano validamente esprimere un valido consenso per la fruizione dei servizi online. E’ ragionevole, a parere del Garante, tutelare maggiormente questi soggetti in quanto dotati di minore consapevolezza, rispetto agli utlraquattoridcenni, sulle insidie del mondo digitale.
In ogni caso, viene escluso il rilascio dell’identità digitale per la fascia di età 0-4 anni.
Durante tale periodo sperimentale, il Garante ha precisato che sarà compito dell’Agid e del Ministero per l’istruzione vigilare affinché l’utilizzo dell’identità digitale avvenga in conformità alle disposizioni contenute nelle Linee Guida.
Per i soggetti, invece, che hanno compiuto 14 anni, il Garante ha richiesto che i fornitori di identità digitale adottino misure aggiuntive a tutela dei minori nel caso in cui venga predisposto a loro favore un accesso diretto a determinati servizi digitali.
Ancora, l’Autorità ha ritenuto che siano necessarie previsioni aggiuntive in ordine alla modalità di rilascio dell’Identità digitale, poiché l’ha reputata non sufficientemente chiara rispetto agli adempimenti che devono essere rispettati nella fase di identificazione dei minori. E’ necessario, dunque, raggiungere più elevati livelli di certezza nella verifica del soggetto che esercita la responsabilità genitoriale.
In altri termini, il Garante ha richiesto una maggiore chiarezza procedurale e una indicazione più dettagliata sulle fasi e le regole necessarie per l’ottenimento e il rilascio dell’identità digitale.
Il Garante, inoltre, ha richiesto anche ulteriori precisioni in merito alla fase in cui il minore raggiunge la maggiore età. In tal caso, infatti, lo stesso dovrà essere messo nella condizione di poter esprimere liberamente la scelta di mantenere o revocare la propria identità digitale attraverso il servizio messo a sua disposizione. Tale servizio dovrà rispettare i principi di cui all’art. 5 del GDPR in merito alla liceità, correttezza e trasparenza del trattamento.
In considerazione di ciò, secondo l’Autorità devono essere predisposti ulteriori strumenti nel rispetto degli artt. 12 e ss. del GDPR in base ai quali il titolare del trattamento deve agevolare l’esercizio dei diritti dell’interessato, adottando misure idonee a fornire informazioni sui trattamenti gestiti in forma trasparente e chiara.
Infine, il Garante ha preso posizione sulla introduzione – prevista nello schema di linee guida oggetto di esame – di specifiche estensioni SAML (Security Assertion Markup Language): ossia degli standard informatici necessari allo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti, che devono essere utilizzati ai fini della gestione della richiesta di accesso da parte del minore. In particolare, il monito del Garante su tale aspetto ha riguardato il fatto di migliorare le modalità per impedire l’accesso al soggetto minore a servizi a lui non destinati o comunque non conformi all’età prevista. In questo caso, il Garante ha richiesto di precisare che, in caso di autenticazione priva di estensioni SAML, la procedura di autenticazione tramite Spid di un minore deve esser interrotta.
Infine, il Garante ha osservato che devono essere adottate misure allo scopo di non discriminare i minori che non sono ancora in possesso di Spid, soprattutto per i servizi digitali offerti dalle istituzioni scolastiche.
In conclusione, il Garante ha dunque espresso parere favorevole sullo schema di Linee Guida operative per la fruizione di Spid da parte dei minori, a condizione che siano rispettate tutte le raccomandazioni dallo stesso avanzate e siano, dunque, apposti maggiori strumenti di tutela in ragioni dell’età degli utenti.
Scrivi un commento
Accedi per poter inserire un commento