Il garante privacy esprime parere favorevole sulla attribuzione dello SPID attraverso modalità di verifica dell’identità del richiedente da remoto con l’ausilio di un bonifico bancario.

Il garante privacy esprime parere favorevole sulla attribuzione dello SPID attraverso modalità di verifica dell’identità del richiedente da remoto con l’ausilio di un bonifico bancario.

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

privaGarante per la protezione dei dati personali: Parere all’Agid sulla bozza di determina che modifica il regolamento recante le modalità attuative per la realizzazione dello SPID e sulla bozza di determina volta a disciplinare una nuova modalità di verifica dell’identità da remoto con l’ausilio di un bonifico bancario – provvedimento n. 163 del 17 settembre 2020

 

Il fatto

Nel parere oggetto di commento, l’Agenzia Italiana per il Digitale (AGID) ha richiesto al Garante per la protezione dei dati personali di valutare la conformità rispetto alla normativa privacy di due proposte di modifica, rispettivamente, del regolamento contenente le modalità con cui realizzare il sistema SPID (cioè l’identità digitale) e del relativo disciplinare volto ad individuare una nuova modalità con cui identificare i soggetti che richiedono l’identità digitale.

In particolare, il codice dell’amministrazione digitale ha previsto l’istituzione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (c.d. SPID) ed il successivo decreto del presidente del consiglio dei ministri ne ha determinato le caratteristiche nonché i tempi e le modalità della sua adozione da parte delle pubbliche amministrazioni e delle imprese, attribuendo all’AGID il compito di adottare dei regolamenti idonei a permettere l’applicazione del sistema SPID. In virtù dei suddetti poteri, l’agenzia, nel 2015, ha emanato i regolamenti con cui sono state individuate le regole tecniche e le modalità per realizzare il sistema SPID, individuare le modalità con cui accreditare i soggetti che possono rilasciare l’identità digitale nonché individuare le procedure idonee a consentire ai gestori di rilasciare identità digitale attraverso l’uso di sistemi di identificazione informatica dei richiedenti.

L’Agid ha ritenuto di dover introdurre delle nuove procedure per permettere ai soggetti gestori di rilasciare da remoto l’identità digitale in maniera più semplice, rispetto a quanto previsto fino ad oggi, in modo che – attraverso detta semplificazione – possa ampliarsi la platea delle persone che richiedono ed ottengano il rilascio dell’identità digitale.

In ragione di ciò, l’AGID ha quindi richiesto al Garante privacy il proprio parere sulle due modifiche che intende apportare.

Il parere del Garante

Il Garante per la protezione dei dati personali ha analizzato il primo schema di determina del Direttore generale dell’agenzia con cui quest’ultima intende modificare il Regolamento che individua le modalità per realizzare il sistema SPID ed in particolare intende modificare l’articolo dedicato all’identificazione a vista da remoto. Detto schema di determina attribuisce a delle determinazioni del Direttore generale dell’AGID la facoltà di prevedere delle procedure ulteriori per l’identificazione a vista da remoto dei richiedenti, previo il parere del garante per la protezione dei dati personali. In altri termini, attraverso la modifica proposta si vuole attribuire al Direttore Generale dell’AGID il potere di introdurre delle nuove procedure di identificazione da remoto di coloro i quali richiedono l’identità digitale.

Con il secondo schema di determina, invece, l’agenzia vorrebbe introdurre una nuova modalità per permettere alle società che gestiscono il rilascio dell’identità digitale di identificare da remoto i soggetti che richiedono l’identità digitale attraverso la registrazione di un audio e video rivolto direttamente alla società che gestisce il rilascio dell’identità digitale, associata all’effettuazione di un bonifico bancario da parte del richiedente l’identità digitale.

Il profilo di criticità relativo alla suddetta modalità di identificazione degli interessati, riguarda il fatto che l’identificazione viene effettuata da remoto e non prevede la contestuale presenza del richiedente l’identità e dell’operatore che deve effettuare la verifica del richiedente e poi autorizzare il rilascio dello SPID. L’operatore, invece, effettua il controllo della richiesta e dei dati ivi contenuti soltanto in un secondo momento rispetto alla richiesta. In particolare, il funzionamento della nuova modalità di identificazione del richiedente si compone di quattro diversi passaggi:

  • in primo luogo, il soggetto che intende richiedere l’identità SPID deve eseguire una registrazione on-line, fornendo una serie di dati personali e le credenziali per l’identificazione di primo livello;
  • in secondo luogo, il richiedente deve effettuare una sessione audio e video dove deve confermare i dati che aveva inserito in sede di registrazione nonché la data e l’ora della stessa e deve altresì mostrare un documento di identificazione personale e il codice fiscale e infine dichiarare di voler attivare lo SPID;
  • in terzo luogo, il richiedente deve effettuare un bonifico attraverso un conto corrente italiano a lui intestato (o cointestato) e indicare come causale dello stesso un codice specifico che il richiedente ha ottenuto in precedenza dal gestore stesso (in tal modo è possibile correlare il bonifico alla richiesta di rilascio dello SPID);
  • successivamente, un operatore del gestore che deve rilasciare lo SPID visiona il file audio e video registrato dal richiedente sulla piattaforma e effettua tutte le verifiche necessarie al rilascio dello SPID.

Il garante per la protezione dei dati personali ha ritenuto che lo schema per la modifica del regolamento in cui sono previste le modalità di attuazione dello SPID con cui si autorizza il direttore generale a introdurre nuove modalità di identificazione da remoto dei richiedenti, è conforme alla normativa in materia di protezione dei dati personali, a condizione che ogni delibera che viene adottata dall’agenzia per attuare la nuova disposizione venga sempre allegata al regolamento stesso.

Il garante, inoltre, ha ritenuto che anche lo schema di determina volto ad introdurre la suddetta nuova modalità di identificazione da remoto dei richiedenti è conforme alla normativa in materia di protezione dei dati personali.

In particolare, il Garante ha ritenuto rispettoso della normativa privacy l’uso del bonifico bancario, effettuato da un conto corrente intestato al soggetto che richiede il rilascio dell’identità digitale e attraverso l’inserimento di una causale che permette di correlare il bonifico alla richiesta di rilascio dello SPID (attraverso l’indicazione di uno specifico codice appositamente fornito al richiedente). Inoltre, il garante ha ritenuto altresì conforme alla normativa privacy l’uso di una sessione audio e video in cui viene fornito un codice numerico al richiedente, che dovrà essere letto durante la sessione stessa, e il fatto che l’invio di detto codice avvenga tramite SMS o tramite un’apposita APP installata dal richiedente. A tal proposito, però il Garante precisa che, per garantire il rispetto della normativa privacy, in caso di invio del codice attraverso l’APP, è necessario che detta applicazione sia installata unicamente sul dispositivo dove è presente l’utenza telefonica che è stata fornita dal richiedente al momento della registrazione, in modo che soltanto il richiedente possa utilizzare detta APP e quindi ci sia certezza dell’identità tra il richiedente è colui il quale conosce il codice.

Il garante, inoltre, ritiene conforme anche il sistema di verifica previsto dal regolamento, secondo cui il gestore deve sospendere almeno il 2% delle richieste di attivazione dell’identità digitale ricevute ogni giorno, per effettuare un’ulteriore verifica dell’audio e video da parte di un secondo operatore.

Infine, il Garante ritiene altresì conforme alla normativa in materia di privacy l’invio di rapporti settimanali da parte dei gestori dell’identità digitale, contenenti i casi in cui sono state respinte le richieste di rilascio dello SPID. A tal proposito, tuttavia, precisa che non dovranno essere inviate al garante privacy tutte le richieste respinte, ma soltanto quelle in cui il rifiuto è stato dettato da profili di criticità in relazione al trattamento dei dati personali (poiché, per esempio, si tratta di tentativi fraudolenti di sottrazione dell’identità altrui).

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!