VEDI ANCHE Newsletter del 30 settembre 2020

[doc. web n. 9461061]

Parere all'Agid sulla bozza di determina che modifica il regolamento recante le modalità attuative per la realizzazione dello SPID e sulla bozza di determina volta a disciplinare una nuova modalità di verifica dell’identità da remoto con l’ausilio di un bonifico bancario - 17 settembre 2020

Registro dei provvedimenti
n. 163 del 17 settembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, la prof.ssa Ginevra Cerrina Feroni, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (di seguito “Codice”);

Visto il Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con nota del 6 luglio u.s., AgID ha chiesto al Garante il parere in merito a due distinte proposte di determina, da adottarsi da parte del Direttore generale, volte a:

a) modificare il regolamento recante le modalità per la realizzazione dello SPID, attuativo dell’art. 4, comma 2, DPCM 24 ottobre 2014, prevedendo la possibilità di stabilire, con determina AgID, procedure di identificazione da remoto ulteriori rispetto a quelle già in essere;

b) disciplinare, in attuazione della predetta modifica, una nuova modalità per l’identificazione da remoto del richiedente l’identità digitale.

Secondo quanto indicato da AgID, l’adozione dei predetti atti si rende necessaria al fine di introdurre e disciplinare procedure per il rilascio da remoto dell’identità digitale “più agevoli”, rispetto a quelle attualmente previste, in modo da permettere un maggior numero di rilascio di identità digitali, anche in considerazione del peculiare contesto creato dall’attuale emergenza sanitaria.

OSSERVA

1. Sulla bozza di determina che modifica il regolamento recante le modalità attuative per la realizzazione dello SPID

1.1. Il quadro normativo di riferimento

Come noto, l’art. 64 del CAD prevede l’istituzione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” (“SPID”), mentre il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese” (di seguito “DPCM”), ne ha definito le caratteristiche, nonché i tempi e le modalità di adozione dello stesso, da parte delle pubbliche amministrazioni e delle imprese. L’art. 4, commi 2, 3 e 4, ha previsto, in particolare, l’adozione, da parte di AgID, di specifici regolamenti volti ad attuare le predette disposizioni in materia di SPID, previo parere del Garante.

Successivamente, con determina AgiD n. 44/2015, sono stati emanati i regolamenti volti a individuare le regole tecniche e le modalità attuative per la realizzazione dello SPID (in attuazione dell’art. 4, comma 2, del DPCM); definire le modalità di accreditamento dei soggetti SPID (cfr. art. 4, comma 3); definire le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale (cfr. art. 4, comma 4).

1.2. Sulla richiesta di AgID

Come precisato, il primo degli schemi di determina sottoposto al Garante è volto a modificare il regolamento recante le modalità attuative per la realizzazione dello SPID.

In particolare, all’art. 8 del predetto regolamento, rubricato “Identificazione a vista da remoto”, viene inserito il seguente capoverso: “Con una o più determinazioni del Direttore generale, da adottare acquisito il parere del Garante per la protezione dei dati personali, possono essere definite ulteriori procedure di identificazione a vista da remoto”.

La modifica proposta prevede, dunque, che possano essere definite procedure di identificazione da remoto dell’identità digitale ulteriori rispetto a quella già in essere, previo parere del Garante. Ciò, in conformità a quanto stabilito dall’art. 4, secondo comma, del DPCM, che sul predetto regolamento ha appunto previsto il parere del Garante.

2. Sulla bozza di determina AgID volta a disciplinare una nuova modalità di verifica dell’identità da remoto con l’ausilio di un bonifico bancario

Come indicato, con la nota del 6 luglio u.s., AgID ha contemporaneamente sottoposto al Garante un’ulteriore richiesta di parere sullo schema di determina (e relativi Allegati) volta, appunto, a disciplinare una nuova modalità per l’identificazione da remoto del richiedente l’identità digitale da parte del gestore dell’identità, basata su un audio-video, disponibile su piattaforma o App gestita dal gestore dell’identità digitale nel proprio perimetro di sicurezza, con l’ausilio di un bonifico bancario.

Tale modalità di identificazione da remoto non prevede la contestuale presenza del richiedente l’identità e dell’operatore che la deve effettuare. In sintesi, la procedura prevede che il richiedente l’identità SPID, dopo aver eseguito una procedura di registrazione online (durante la quale sceglie le proprie credenziali di livello 1, fornisce il consenso al trattamento dei dati personali previsto dalla normativa, il proprio indirizzo e-mail e numero di cellulare e prende visione delle condizioni d’uso, della guida utente e dell’informativa), proceda ad effettuare una sessione audio-video, durante la quale gli viene chiesta conferma di alcuni dati (tra i quali la data e l’ora, nonché alcuni dati personali, quali il nome e il cognome) già forniti nella fase di registrazione, e di mostrare il documento di riconoscimento e il tesserino del codice fiscale o della tessera sanitaria nonché la conferma della volontà di attivare SPID.

Il richiedente deve, inoltre, eseguire un bonifico da un c/c con IBAN italiano a lui intestato o cointestato, indicando nella causale uno specifico codice, che gli è stato precedentemente fornito, che consente di correlare la richiesta dell’identità al bonifico stesso.

Successivamente, un operatore visiona l’audio-video ed effettua tutte le verifiche di back-office necessarie.

La nuova procedura di identificazione, dunque, non prevede più, per l’identificazione da remoto, la presenza contestuale del richiedente l’identità SPID e dell’operatore che, infatti, è coinvolto solo in un secondo momento, al fine di visionare (e ascoltare) in back-office la registrazione effettuata.

RILEVATO

Si rappresenta che gli schemi di determina sottoposti al Garante, come ribadito anche nella nota di trasmissione di AgID delle stesse,  tengono conto delle indicazioni che sono state fornite dall’Ufficio nel corso di interlocuzioni volte a rendere il trattamento dei dati posto in essere conforme ai principi in materia di protezione dei dati personali, adottando misure volte a rafforzare la nuova procedura di identificazione da remoto al fine di prevenire furti di identità che potrebbero comportare accessi illeciti a dati personali.

Con specifico riferimento alla delibera di modifica del regolamento, recante le modalità attuative per la realizzazione dello SPID, si rappresenta la necessità che le delibere adottate da AgID in attuazione di tale nuova disposizione, siano sempre allegate al predetto regolamento.

Per quanto concerne, invece, la disciplina dell’ulteriore modalità di identificazione da remoto, si osserva, riguardo ad alcuni requisiti ed elementi di garanzia previsti, quanto segue.

Si prende favorevolmente atto del complessivo rafforzamento del processo di identificazione del richiedente attraverso l’effettuazione di un bonifico bancario, eseguito da un conto corrente la cui intestazione coincida con quella dell’utente che richiede l’identità digitale, e che rechi una specifica causale che consente di correlare la richiesta dell’identità al bonifico stesso. È stato anche previsto che, durante la sessione audio-video, sia fornito al richiedente – via SMS o tramite un’apposita App preventivamente installata dallo stesso- un codice numerico randomico che lo stesso richiedente dovrà leggere durante la sessione. Al riguardo si rappresenta tuttavia che, affinché tale garanzia sia pienamente efficace, in caso di invio del codice attraverso App, occorre che la stessa sia installabile unicamente sul dispositivo collegato all’utenza telefonica fornita dal richiedente ai fini dell’identificazione. Ciò, al fine di garantire che l’utilizzo dell’App stessa sia nel completo controllo del richiedente e che questa sia ad esso riconducibile con certezza.

La procedura prevede, inoltre, come ulteriore elemento di garanzia finalizzato ad effettuare delle verifiche immediate, che il gestore dell’identità digitale sospenda almeno il 2% delle richieste giornaliere ricevute, al fine di fare effettuare una ulteriore verifica dell’audio-video anche da parte di un secondo operatore. È prevista, poi, la trasmissione dell’esito delle stesse ad AgID e al Garante, dopo 6 mesi, al fine di valutare -dopo un periodo di prima applicazione- l’efficacia di tale controllo di secondo livello.

Per quanto concerne, invece, l’invio, da parte di AgID al Garante, dei rapporti settimanali redatti dai gestori dell’identità digitali e riferite al numero di richieste di rilascio dell’identità SPID che sono state respinte “a prescindere dalla ragione”, si segnala l’opportunità che AgID, a valle dell’esercizio dei propri poteri di vigilanza, provveda a segnalare all’Autorità soltanto i dati relativi alle richieste respinte che presentano profili di criticità in relazione al trattamento dei dati personali (in quanto si configurano come tentativi fraudolenti e non, semplicemente, problematiche di carattere tecnico e organizzativo) anche al fine di promuovere eventuali accertamenti, ovvero valutare la necessità di individuare ulteriori misure tecniche e organizzative per rafforzare il predetto procedimento di identificazione da remoto.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere, nei termini di cui in motivazione, sulla proposta di delibera AgID che modifica il regolamento recante le modalità attuative per la realizzazione dello SPID e sulla proposta di delibera AgID che disciplina una nuova modalità di verifica dell’identità da remoto.

Roma, 17 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi