g-docweb-display Portlet

Parere all’AgID sullo schema di Linee guida operative per la fruizione dei servizi SPID da parte dei minori - 2 febbraio 2022 [9744322]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI COMUNICATO DELL'11 FEBBRAIO 2022

[doc. web n. 9744322]

Parere all’AgID sullo schema di Linee guida operative per la fruizione dei servizi SPID da parte dei minori - 2 febbraio 2022

Registro dei provvedimenti
n. 36 del 2 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Con la nota dell’11 gennaio 2022, l’Agenzia per l’Italia digitale (di seguito, “AgID”) ha trasmesso al Garante, al fine di ottenerne il parere, lo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, che ha modificato le precedenti versioni trasmesse nel 2021, corredata del parere del responsabile della protezione dei dati, precisando che la relativa valutazione di impatto è in fase di aggiornamento rispetto a quella da ultimo effettuata nell’agosto 2021.

L’Autorità ritiene preliminarmente utile formulare alcune considerazioni di carattere generale in relazione al contesto nel quale si collocano le presenti linee guida.

In questa prospettiva occorre, innanzitutto, ricordare che il GDPR prevede espressamente che i minori ricevano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione deve, in particolare, riguardare l'utilizzo dei dati personali dei minori a fini di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore (cfr. Considerando 38 del Regolamento).

Nel nostro Ordinamento, come è noto, convivono due sistemi di identificazione digitale dei cittadini (CIE e SPID) sostanzialmente fungibili ovvero idonee a soddisfare esigenze giuridiche sovrapponibili fatte salve talune marginali questioni di diversa usabilità.

In tale contesto, l’apertura anche ai minori del Sistema Pubblico di identità digitale (SPID) rappresenta, evidentemente, una duplicazione dei trattamenti di dati personali posti in essere dallo Stato – o per conto dello Stato – in vista del perseguimento di un’identica finalità: l’identificazione delle persone da parte di fornitori di servizi pubblici e privati.

Tale circostanza impone particolare severità nel valutare la compatibilità dei trattamenti sottesi al rilascio e all’utilizzo delle identità digitali da parte dei minori con particolare riferimento ai principi di necessità e proporzionalità dei trattamenti di dati personali da considerarsi legittimi alla stregua del GDPR.

E’, infatti, innegabile, fatto salvo quanto si è anticipato in relazione a talune differenze sul versante dell’usabilità dei due sistemi di identificazione digitale dei cittadini, che i casi d’uso nei quali l’identità digitale SPID dei minori potrebbe essere utilizzata sono i medesimi nei quali potrebbe essere usata la Carta di identità digitale (CIE) della quale la più parte dei minori è già verosimilmente in possesso.

Ciò rende difficile ritenere, almeno in via generalizzata, proporzionati i trattamenti di dati personali connessi al rilascio e all’utilizzo delle identità digitali.

A quanto precede sembra, peraltro, opportuno aggiungere che non è dato rinvenire nell’Ordinamento un significativo numero di casi nei quali ai minori sia richiesto di identificarsi direttamente – e non per il tramite della rappresentanza che compete agli esercenti la potestà genitoriale – dinanzi a fornitori di servizi digitali pubblici o privati.

In tale contesto mentre i trattamenti sottesi al funzionamento di SPID per i minori espongono, inesorabilmente, questi ultimi a un rischio in termini di protezione dei dati personali, non è dato – o, almeno, non è immediato – cogliere i benefici connessi a tali trattamenti.

1. Lo schema di linee guida in esame

Lo schema di linee guida si occupa di definire “le modalità di rilascio dell’identità digitale al minore [e] le modalità di fruizione dei servizi online mediante tale identità”, mettendo in luce che l’assegnazione di un’identità digitale ai minori mirerebbe a: “1. consentire ai minori di acquisire la propria identità digitale, previa richiesta da parte di chi esercita la responsabilità genitoriale; 2. consentire al minore di fruire autonomamente di servizi online mediante la propria identità digitale, ferma restando - salvo casi specifici - la possibilità di autorizzazione e verifica da parte dell’esercente la responsabilità genitoriale; 3. consentire ai fornitori di servizi in rete la selezione dei propri utenti in base all’età” (cap. 2). Ciò, considerato anche che, secondo quanto rappresentato, “La normativa vigente consente la creazione dell’identità digitale in favore di tutti i cittadini, senza prevedere alcun limite minimo di età” (par. 3.1).

Viene anzitutto prevista la distinzione tra “l’autorizzazione, espressa dal titolare della responsabilità genitoriale, alla fruizione del servizio da parte del minore” e “il consenso al trattamento dei dati personali, ove richiesto in base all’art. 6, par. 1, lett. a) del RGPD” (laddove sia la base giuridica che consente il trattamento effettuato dal fornitore di servizi), quest’ultimo reso “dal titolare della responsabilità genitoriale, in caso di minore infraquattordicenne”, ovvero “dal minore stesso, al compimento dei quattordici anni” (cap. 2).

Sono poi sottolineate le responsabilità dei fornitori di servizi (di seguito, “SP”), i quali sono tenuti a “effettuare un’autonoma, motivata e dimostrabile valutazione in merito alla necessità di: a) conoscere la minore età dell’utente; b) ottenere la certezza della sua identità per le finalità del Servizio”, nonché a “individuare, sulla base della normativa vigente nonché della tipologia e della finalità del servizio erogato in rete, i casi in cui, avendo ritenuto necessaria l’identificazione del minore per l’accesso al servizio, [non devono] chiedere all’esercente la responsabilità genitoriale l’autorizzazione all’accesso del minore al servizio, al fine di garantire e tutelare la riservatezza del minore con particolare riferimento ai servizi di prevenzione o consulenza diretta” (cap. 2).

La procedura di rilascio di SPID ai minori prevede, in particolare, i seguenti passaggi (cap. 4):

il genitore, accedendo con le proprie credenziali SPID di livello 2 a un servizio appositamente messo a disposizione dagli identity provider (di seguito, “IdP”) “inserisce i seguenti dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, C.F., data nascita” e dichiara, ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, “la propria qualità di esercente la responsabilità genitoriale sul minore”, nonché “di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore”;

l’IdP genera due codici: un “codice del genitore”, “composto dal risultato della funzione CRC-32 applicato al codice fiscale del Genitore”, e un “codice di verifica”, “assegnato al minore (univoco nell’ambito di ogni IdP), associando al codice del genitore un codice casuale di tre numeri in notazione decimale (seriale minore)” e successivamente comunicato al genitore;

il genitore comunica il codice di verifica al minore, che lo inserisce all’interno dell’apposito servizio reso disponibile dall’IdP;

l’IdP, previa verifica della presenza dell’autorizzazione del genitore al rilascio di SPID, “identifica il minore, verificando la corrispondenza della sua identità con i dati precedentemente forniti dal Genitore nonché il nome di questi sul documento di identità del minore (o mediante verifiche alternative). Qualora l’identificazione del minore intervenga de visu (in presenza o con modalità informatica), il minore infraquattordicenne DEVE essere affiancato dal Genitore”;

l’IdP rilascia l’identità digitale al minore e invia una notifica al genitore.

Vengono quindi individuate due distinte procedure per la fruizione dei servizi in rete da parte dei minori mediante SPID (cap. 5):

una “Procedura A”, che “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, non deve richiedere al Genitore né l’autorizzazione all’accesso al servizio da parte del minore né, conseguentemente, il consenso al trattamento dei dati personali del minore con riferimento ai servizi di prevenzione o di consulenza forniti direttamente a quest’ultimo” (par. 5.1), prevedendo, laddove applicabile ai sensi dell’art. 6, par. 1, lett. a), del Regolamento, la raccolta del consenso del minore, da parte dell’IdP, per il trattamento connesso alla fruizione dei servizi offerti dal SP;

una “Procedura B”, che, invece, “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, deve richiedere al Genitore l’autorizzazione all’accesso al servizio da parte del minore” (par. 5.2), distinta tra ultraquattordicenni (con la raccolta del consenso del minore, da parte dell’IdP, ai sensi dell’art. 6, par. 1, lett. a), del Regolamento laddove applicabile, par. 5.2.2) e infraquattordicenni (prevedendo, invece, laddove applicabile, la raccolta del consenso del genitore, sempre da parte dell’IdP, par. 5.2.1).

L’autorizzazione, da parte del genitore, all’accesso del minore al servizio da quest’ultimo richiesto deve avvenire “entro 24 ore dalla richiesta”, mentre, “se, in occasione di un precedente accesso, il Genitore ha già fornito l’autorizzazione, l’IdP autentica nuovamente il minore senza chiedere una nuova autorizzazione”. Viene, inoltre, previsto che il genitore possa “autorizzare l’accesso del minore al servizio indicando all’IdP la durata di tale autorizzazione. Ogni autorizzazione decade al momento del decadere dell’identità digitale del Genitore”. In caso di modifica delle “finalità del trattamento dei dati personali e/o [delle] condizioni di erogazione dei servizi”, occorre ripetere le procedure A e B sopra descritte (par. 6.1).

L’IdP deve, poi, fornire al genitore un servizio per la gestione dell’identità digitale dei minori e delle autorizzazioni all’accesso ai servizi, con possibilità di sospensione o revoca. Tale servizio deve essere limitato “esclusivamente alle informazioni necessarie all’espletamento di tali attività, garantendo la riservatezza del minore con riferimento a ulteriori informazioni di utilizzo della propria identità digitale”. In caso di minore ultraquattordicenne, l’IdP deve fornire anche a quest’ultimo “un servizio, accessibile mediante credenziali SPID almeno di livello 2, che consenta: la gestione, in autonomia, della propria identità digitale e che preveda almeno la possibilità di sospensione di tale identità; la consultazione, in autonomia, degli accessi effettuati presso i SP” (par. 6.2).

I log di ogni autorizzazione devono essere conservati dagli IdP “per un tempo pari a 24 mesi” e devono contenere “unicamente le informazioni di cui alla notifica con la relativa indicazione temporale nonché la risposta del Genitore con la relativa indicazione temporale” (par. 6.3).

Sono state individuate, inoltre, alcune misure che sarebbero volte a “impedire l’accesso a un servizio della società dell’informazione non destinato ai minori o non conforme all’età prevista, evitando che il SP riceva i dati personali del minore”, prevedendo il ricorso a “estensioni SAML” (par. 7.1), nonché la visualizzazione di appositi messaggi all’utente nel caso “in cui il minore non sia stato autorizzato all’accesso al servizio richiesto” e “in cui l’età del soggetto non coincida con la richiesta pervenuta dal SP” (par. 7.2).

In relazione alla revoca, al cap. 8, lo schema prevede che, al sopraggiungere della maggiore età, l’IdP invii un messaggio al neo maggiorenne mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale. Nel caso in cui il neo maggiorenne non chieda la revoca, l’identità digitale resta attiva ma è previsto che l’IdP elimini “i legami con l’identità digitale del genitore”, rimuova “le limitazioni precedentemente imposte dalla minore età” e cancelli “tutte le informazioni relative all’utilizzo dell’identità digitale del minore rese disponibili al genitore, fatta eccezione per i log” (cap. 8).

Infine, lo schema, precisa che, “prima di erogare un servizio ai minori mediante SPID, i fornitori di servizi devono effettuare un’autonoma, motivata e dimostrabile valutazione in merito alla necessità di: a) conoscere la minore età dell’utente; b) ottenere la certezza della sua identità per le finalità del Servizio” (cap. 2). Successivamente, dopo un richiamo al rispetto dei principi di cui all’art. 5 del Regolamento, viene specificato che “SPID permette ai SP - qualora lo ritengano opportuno in base alle proprie valutazioni, nel rispetto del principio di responsabilizzazione - di ottenere la certezza sull’età del minore anche in assenza di alcun altro dato che possa ulteriormente identificarlo, ad esempio permettendo al SP di richiedere esclusivamente l’attributo che attesta la data di nascita del minore. SPID, invero, è uno strumento che può essere utilizzato anche per proteggere i minori, in quanto consente l’accesso ai servizi in rete mediante selezione dei relativi fruitori in base all’età o, come sopra indicato, eventualmente anche in modalità anonima” (cap. 9).

OSSERVA

2. Considerazioni generali

In via preliminare, si rappresenta che, nella valutazione della conformità dello schema in esame alla disciplina in materia di protezione dei dati personali, occorre verificare con particolare rigore il rispetto dei principi di proporzionalità, liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e privacy by design e by default, in considerazione di rischi elevati che presentano i trattamenti ivi disciplinati, relativi sia all’attribuzione di un’identità digitale SPID ai minori, che al suo utilizzo per l’accesso ai servizi in rete.

Giova, infatti, ricordare che i flussi sopra descritti comportano il coinvolgimento, nei processi di identificazione e autenticazione informatica degli utenti, di altri soggetti (IdP) a cui, in aggiunta ai compiti loro affidati dalla normativa relativa a SPID, lo schema in esame attribuisce un ruolo di gestione del complesso meccanismo che regola le autorizzazioni dei genitori all’utilizzo dei servizi offerti dai SP e i consensi parentali al trattamento dei dati personali dei minori, con un inevitabile incremento dei rischi per i diritti e le libertà degli interessati, anche in termini di probabilità e gravità. Rischi che, oltre a riguardare i profili di integrità e riservatezza dei dati personali (art. 5, par. 1, lett. f), del Regolamento), derivano dal fatto che presso un soggetto privato (IdP) vengano accentrate e conservate le informazioni concernenti la fruizione di servizi da parte dei minori, offerti anche al di fuori dell’ambito pubblico, suscettibili di consentire la profilazione del comportamento degli utenti.

In ragione dell’esiguità di servizi che potrebbero vedere quali destinatari soggetti minori, soprattutto infraquattordicenni, nel corso dell’istruttoria è stata rappresentata ad AgID l’esigenza di conoscere i servizi per i quali si renderebbe necessario introdurre l’utilizzo di SPID da parte dei minori, atteso che lo stesso serve per consentire ai fornitori di servizi l’immediata verifica dell’identità dei richiedenti, nonché di eventuali attributi qualificati che li riguardano (art. 64 del decreto legislativo 7 marzo 2005, n. 82 – di seguito, “CAD”; art. 2, comma 2, del decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014, di seguito d.P.C.M.).

Ciò, anche a fronte di una disciplina civilistica piuttosto rigorosa nel limitare la capacità di agire del minore, a sua tutela (cfr. artt. 316 e ss. c.c.), che prevede che “i genitori congiuntamente, o quello di essi che esercita in via esclusiva la responsabilità genitoriale, rappresentano i figli nati e nascituri, fino alla maggiore età o all’emancipazione, in tutti gli atti civili e ne amministrano i beni. Gli atti di ordinaria amministrazione, esclusi i contratti con i quali si concedono o si acquistano diritti personali di godimento, possono essere compiuti disgiuntamente da ciascun genitore” (art. 320, comma 1, c.c.); con la conseguenza che, anche nell’ambito dell’accesso ai servizi offerti dalle pubbliche amministrazioni, siano i genitori, di regola, a porre in essere tutti gli atti per conto e nell’interesse dei minori posti sotto la loro tutela.

In base a tali presupposti, infatti, in ottemperanza al principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento), risulta conseguentemente arduo individuare quali possano essere le tipologie di servizi in relazione ai quali emergerebbe l’esigenza di effettuare il trattamento mediante SPID per l’accertamento dell’identità o dell’età dei minori, considerato, in particolare, che i servizi educativi – che, in assenza di ulteriori indicazioni, appaiono essere quelli principalmente rivolti a minori – già possiedono adeguati meccanismi in grado di assicurare un idoneo grado di certezza dell’identità o dell’età dei minori.

Sul punto, con la nota dell’11 gennaio 2022, l’AgID ha, invece, rappresentato che “le tipologie di servizi, in relazione ai quali si ritiene che l’accesso tramite SPID da parte di minori costituisca una misura proporzionata rispetto alla specifica protezione che l’ordinamento deve assicurare ai minori, sono individuate dai singoli fornitori. Questi, invero, sono espressamente tenuti - a norma delle Linee guida - ad effettuare un’autonoma, motivata e dimostrabile valutazione in merito alla necessità di conoscere sia l’identità del proprio utente sia la sua minore età per la specifica finalità del servizio erogato mediante SPID”.

Inoltre, sul piano dell’analisi dei rischi, nell’ultima valutazione d’impatto trasmessa dall’Agenzia (in data 12 agosto 2021) – che, peraltro, non tiene conto delle rilevanti modifiche contenute nello schema di linee guida attualmente in esame – nell’evidenziare che essa “è inevitabilmente posta in capo ai gestori e ai fornitori di servizi, in ragione del loro ruolo nelle attività di trattamento dei dati personali”, vengono individuati i soli rischi afferenti l’“Accesso illegittimo ai dati personali del minore da parte dell’esercente la responsabilità genitoriale” e le “Modifiche indesiderate ai dati personali del minore da parte dell’esercente la responsabilità genitoriale”. Al riguardo, da ultimo, nella richiamata nota dell’11 gennaio 2022, a seguito di ulteriore richiesta di chiarimenti da parte dell’Ufficio, l’AgID ha dichiarato che “gli uffici dell’Agenzia che si occupano di SPID non hanno riscontrato l’opportunità di valutare ulteriori rischi per le libertà e i diritti degli interessati né ulteriori garanzie di tutela degli interessati rispetto a quanto già previsto nella valutazione d’impatto inoltrata in allegato alla precedente interlocuzione”.

L’assenza di elementi del tutto completi, nei termini sopra rappresentati, non rende agevole valutare la conformità al Regolamento dei trattamenti disciplinati nello schema di linee guida e, soprattutto, l’adeguatezza delle misure prefigurate dall’AgID. Misure che non riguardano esclusivamente i processi di rilascio di SPID ai minori e le procedure di autenticazione, ma anche l’affidamento agli IdP della complessa gestione di deleghe, autorizzazioni e consensi che richiede l’individuazione di garanzie diverse a seconda delle caratteristiche dei singoli servizi e dell’età dei minori.

Tali considerazioni valgono soprattutto in relazione ai minori infraquattordicenni, posto altresì che l’art. 2-quinquies del Codice esclude che tali minori possano autonomamente esprimere alcun valido consenso per la fruizione di servizi online, proprio in ragione della necessità di “tutelare il minore in quei contesti virtuali ove risulta maggiormente esposto a causa di una minore consapevolezza dei rischi insiti nella “rete”” (relazione illustrativa al decreto legislativo 10 agosto 2018, n. 101, che ha modificato il Codice al fine di adeguarlo al Regolamento, il quale in ogni caso considera imperativo il limite minimo dei tredici anni).

L’attribuzione e l’utilizzo di SPID da parte di minori vengono, infatti, prospettati nello schema in esame, senza distinzioni, anche nei confronti di coloro che non abbiano ancora compiuto 14 anni, il cui grado di maturità e consapevolezza, con caratteristiche a loro volta molto differenti tra zero e tredici anni, è decisamente ed evidentemente non paragonabile a quello dei minori ultraquattordicenni, soprattutto se messi a confronto con il mondo digitale e con le sue insidie. Nell’ambito dello schema in esame, peraltro, non vengono nemmeno indicati e circoscritti gli eventuali servizi per i quali tale identità dovrebbe essere spendibile autonomamente dai minori nell’ambiente digitale.

Ciò, a meno di non voler considerare, per minori di tenera età, l’impersonificazione da parte dei genitori con l’utilizzo di credenziali di autenticazione non direttamente a loro attribuite, connaturata in questo modello, che rende impossibile la corretta imputazione delle operazioni al soggetto che le ha effettuate, con conseguenti ricadute negative in termini di correttezza e sicurezza del trattamento. Tale criticità sarebbe, peraltro, aggravata in caso di servizi rivolti esclusivamente a minori, per i quali, quantomeno in relazione gli utenti più piccoli, risulterebbe impossibile assicurare che l’accesso non avvenga da parte di un adulto.

In tale contesto, il genitore, o comunque l’esercente la responsabilità, dovrebbe, invece, accedere ai servizi offerti dai SP con la propria identità ed esercitare con tale modalità i poteri di rappresentanza attribuitigli direttamente dalla legge. In relazione a tale problematica, rinviando a quanto di seguito rappresentato (cfr. paragrafo 6 del presente parere), occorre sin da ora rilevare che non risulterebbe, in ogni caso, conforme ai requisiti imposti dal Regolamento in relazione al consenso espresso dal genitore eventualmente reso ai sensi dell’art. 6, par. 1, lett. a), del Regolamento per i trattamenti di dati personali effettuato dal SP, poiché, in base alla procedura prevista, quest’ultimo, titolare del trattamento, non sarebbe nemmeno in grado di conoscere l’identità di chi lo ha rilasciato, in violazione anche del principio di accountability (artt. 5, par. 2, 7, par. 1, 8 e 24 del Regolamento).

Alla luce delle predette considerazioni, al fine di assicurare il rispetto dei diritti e delle libertà dei minori infraquattordicenni, tenuto conto del livello di maturità e consapevolezza degli stessi, in ossequio ai principi di proporzionalità, liceità e minimizzazione dei dati e privacy by design e by default (artt. 5, par. 1, lett. a) e c), 6, par. 3, e 25 del Regolamento), si rappresenta la necessità di escludere tale categoria di minori (minori infraquattordicenni) dall’applicazione delle linee guida in esame, che li espongono a rischi elevati non mitigabili con le misure ivi indicate.

Tuttavia, questa Autorità è consapevole del ruolo strategico che l’identità digitale assume nel percorso di digitalizzazione del Paese e, in particolare, del mondo della scuola, di ogni ordine e grado, che si rivolge ai minori e alle loro famiglie.

In tale quadro, può essere ritenuta compatibile con la normativa in materia di protezione dei dati personali, limitatamente al predetto settore della scuola, l’introduzione, per un periodo sperimentale, fino al 30 giugno 2023, di SPID per i minori infraquattordicenni per l’utilizzo di servizi online esclusivamente forniti dalle scuole a cui gli stessi possono autonomamente accedere (a titolo esemplificativo, il registro elettronico) con, in ogni caso, l’esclusione del rilascio per la fascia d’età 0-4 anni, e avendo cura di non precludere tale accesso agli studenti che non siano ancora in possesso di Spid, eventualmente anche consentendo loro l’utilizzo delle credenziali già in uso.

Tali garanzie dovranno essere individuate in un’apposita sezione dello schema di linee guida in esame, sulla base di un’adeguata valutazione di impatto che tenga conto dei rischi elevati che presenta il trattamento, anche con il coinvolgimento del Ministero dell’istruzione e dei rappresentanti degli interessati (art. 35, parr. 9 e 10, del Regolamento).

In particolare, le suddette garanzie dovranno riguardare i presupposti e le modalità di rilascio di SPID ai minori infraquattordicenni, (con l’esclusione in ogni caso della fascia d’età 0-4 anni), i trattamenti effettuabili da parte degli IdP (da limitare a quelli strettamente necessari alla gestione dell’identità digitale) e l’individuazione dei servizi che i SP (scuole) possono offrire ai minori (infraquattordicenni), adeguando opportunamente le relative convenzioni stipulate con AgID.

In tale periodo sperimentale, occorre che l’AgID e il Ministero dell’istruzione provvedano a vigilare che l’utilizzo di tale strumento avvenga in conformità alle linee guida.

Al fine di valutare l’adeguatezza delle garanzie adottate ed eventualmente valutare l’introduzione di ulteriori cautele al termine del periodo di sperimentazione, l’AgID dovrà predisporre e trasmettere a questa Autorità, entro il 30 aprile 2023, una relazione che indichi i servizi offerti dalle scuole che si avvalgono di tale strumento SPID, il numero di identità rilasciate distinte per ciascun IdP, le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio, tenendo anche conto delle eventuali risultanze fornite dal Ministero.

Occorre pertanto che lo schema di linee guida in esame sia modificato e integrato in tal senso.

Con riferimento, invece, più in generale ai trattamenti di dati personali necessari al rilascio di SPID ai minori, si formulano le seguenti considerazioni.

3. I servizi offerti ai minori

Come sopra rappresentato, le diverse tipologie di servizi che i SP intendono offrire ai minori comportano la necessaria individuazione di misure adeguate, considerando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi elevati per i diritti e le libertà di tali soggetti vulnerabili.

Le caratteristiche dei servizi potrebbero, infatti, richiedere l’adozione di misure aggiuntive rispetto a quelle prospettate di default nello schema in esame (in relazione, ad esempio, alla limitazione obbligatoria nel tempo dell’autorizzazione o a meccanismi rafforzati di verifica del coinvolgimento dell’altro genitore, ecc.) che, anche sulla base della valutazione di impatto condotta dal SP, potrebbero risultare necessarie a mitigare i rischi presentati dal trattamento. Ciò, senza considerare che taluni servizi, che comportano il trattamento di categorie particolari di dati personali e possono ricadere nell’ambito della prevenzione e consulenza fornita direttamente ai minori (soprattutto in ambito sanitario), sono regolati da specifiche discipline di settore e, in ragione della loro peculiarità, potrebbero non risultare fruibili online con l’utilizzo di SPID. Servizi che, peraltro, dovrebbero comunque essere accessibili anche con altre modalità, atteso che per ottenere SPID il minore ha comunque bisogno dell’intervento del genitore.

Anche al fine di assicurare un’adeguata conoscenza degli obblighi e delle responsabilità dei SP, si ritiene, innanzitutto, che debbano essere integrate le convenzioni di adesione a SPID che – ai sensi dell’art. 13, comma 1, del d.P.C.M., e dell’art. 3 del “Regolamento recante le modalità attuative per la realizzazione dello SPID” – devono essere stipulate con AgID, con una specifica sezione contenente disposizioni volte a introdurre garanzie a tutela dei minori nel caso in cui si intendano fornire loro servizi accessibili direttamente, dando rilievo anche alle preliminari valutazioni, motivate e dimostrabili, in merito alla necessità di utilizzare SPID per conoscere la minore età dell’utente, ovvero ottenere la certezza della sua identità per le finalità del servizio. Fermo restando che, anche nel caso di utilizzo di SPID senza conoscere l’identità dell’utente, non si tratterebbe comunque di una fruizione “in modalità anonima” del servizio, come, invece, prospettato da AgID nello schema in esame (cap. 9), in ragione dei dati di navigazione (es. indirizzo IP) e di quelli eventualmente raccolti nell’ambito dell’erogazione del servizio da parte del SP.

Risulta, inoltre, necessario prevedere che nel Registro SPID di cui all’art. 26 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”, venga introdotta una sezione dedicata ai servizi offerti dai SP ai minori, la quale contenga le informazioni necessarie all’AgID e al Garante al fine di monitorare che i trattamenti effettuati dai SP avvengano in conformità allo schema di linee guida, al Regolamento e al Codice. L’attività di vigilanza sull’utilizzo dello SPID posta in essere dall’AgID e dal Garante potrebbe essere così meglio indirizzata verso tali trattamenti che presentano elevati rischi per tale platea di soggetti vulnerabili.

In ogni caso, al fine di verificare l’adeguatezza delle misure individuate nello schema di linee guida in esame, si ritiene necessario che, in sede di prima applicazione, decorso un anno dall’avvio, l’AgID, con il supporto degli IdP, predisponga e fornisca al Garante una relazione sull’utilizzo di SPID da parte dei minori ultraquattordicenni, indicando i servizi che si avvalgono di tale strumento, il numero di identità rilasciate distinte per ciascun IdP, le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio.

4. Il rilascio di SPID ai minori

La procedura di rilascio di SPID ai minori, come descritta nel cap. 4 dello schema in esame, non risulta sufficientemente chiara rispetto agli adempimenti che gli IdP devono porre in essere ai fini dell’identificazione dei minori, anche in rapporto agli obblighi e alle responsabilità individuate dal “Regolamento recante le modalità attuative per la realizzazione dello SPID”.

Fermo restando quanto ritenuto al paragrafo 2 del presente parere circa le specifiche limitazioni dei minori infraquattordicenni, con riferimento a tale procedura speciale di rilascio di SPID, si formulano le seguenti osservazioni:

1) a fronte della dichiarazione del genitore, rilasciata all’IdP ai sensi del d.P.R. 445/2000, circa “la propria qualità di esercente la responsabilità genitoriale sul minore” (punto 2), lett. c)), si rende necessario individuare modalità che consentano all’IdP di verificare tale presupposto, rafforzando il livello di attendibilità di tale attributo anche attraverso accertamenti effettuati tramite fonti autoritative (cfr. al riguardo art. 12 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”). Ciò, anche in relazione alle altre figure che, in assenza dei genitori dovrebbero essere abilitate, ai sensi dello schema in esame, a richiedere la predetta identità per il minore (ad es., il tutore);

2) è previsto che il genitore richiedente debba rilasciare all’IdP, sempre ai sensi del d.P.R. 445/2000, “di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore” (punto 2), lett. d)). Al riguardo, anche in considerazione della pluralità di IdP a cui richiedere SPID, si rende necessario individuare adeguate modalità che consentano di verificare l’esistenza e l’identità dell’altro genitore attraverso le verifiche di cui al predetto art. 12 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”, nonché di attestarne o verificarne l’effettiva volontà a delegare il genitore richiedente, ricorrendo agli strumenti che l’ordinamento richiede in situazioni analoghe (copia del documento e firma autografa, firma digitale, accesso con SPID, ecc.);

3) in merito all’identificazione del minore da parte dell’IdP (punto 6), lett. b)), si rende necessario precisare nello schema:

i) quali siano le modalità con le quali viene effettuata l’identificazione del minore, in ossequio a quanto previsto dal “Regolamento recante le modalità attuative per la realizzazione dello SPID” (spec. artt. 7, 8 e 9), non essendo chiare quali siano le “verifiche alternative” cui si fa riferimento;

ii) la fase e le modalità di acquisizione e conservazione del documento di identità del minore, che non viene individuato tra la documentazione che gli IdP devono necessariamente acquisire ai fini del rilascio di SPID ai fini della verifica dell’identità dichiarata dal minore con i dati precedentemente forniti dal genitore (cfr. punto 2)), in conformità a quanto previsto dagli artt. 12 e 13 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”;

4) lo schema, nel rispetto del principio di minimizzazione dei dati, deve indicare quali sono gli attributi secondari del minore da fornire obbligatoriamente o in via facoltativa;

5) per quanto riguarda l’informativa da rendere agli interessati, essa deve essere predisposta utilizzando un linguaggio semplice e chiaro che un minore possa capire facilmente;

6) in relazione alle modalità con cui nello schema si intende disciplinare la sorte dell’identità digitale del minore al sopraggiungere della maggiore età, si osserva quanto segue:

i) al compimento della maggiore età, l’IdP deve consentire all’interessato di manifestare espressamente la volontà di mantenere o revocare la propria identità digitale attraverso il servizio messo a disposizione ai sensi dello schema in esame, nel rispetto del principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, attesa la modifica intercorsa nel rapporto contrattuale, non riferibile più al genitore; in assenza di una manifestazione di volontà dell’interessato entro un congruo lasso temporale, l’identità dovrebbe essere sospesa e, in seguito, revocata;

ii) devono essere previste modalità di revoca dell’identità, alternative rispetto a quella indicata dallo schema che prevede l’utilizzo esclusivo di SPID, in ossequio a quanto previsto dagli artt. 12 e ss. del Regolamento;

iii) non risulta chiaro quali siano le informazioni che l’IdP dovrebbe cancellare al compimento della maggiore età e quelle che, invece, non devono essere più rese disponibili al genitore. Occorre, pertanto, precisare tali aspetti, nel rispetto del principio di limitazione della conservazione, senza tuttavia compromettere la funzione probatoria assunta dalle autorizzazioni rilasciate dal genitore in relazione all’accesso ai servizi erogati a suo tempo al soggetto minorenne.

5. Autorizzazione dei genitori all’accesso dei servizi da parte dei genitori e consenso al trattamento dei dati personali effettuato dal fornitore di servizi

Le linee guida disciplinano – con previsioni che richiederebbero probabilmente diversa fonte regolamentare attenendo ad aspetti normativi più tecnico-operativi – particolari modalità di utilizzo dell’identità digitale al fine di consentire ai genitori di autorizzare gli SP a permettere ai minori la fruizione di taluni servizi e/o il rilascio del consenso al trattamento dei dati personali.

Al riguardo si richiama preliminarmente l’attenzione sulla circostanza che l’identità digitale costituisce esclusivamente uno strumento di identificazione dell’identità di una persona e, eventualmente, nel suo utilizzo esteso, di conferma del possesso da parte del suo titolare di taluni attributi.

Coerentemente a tale funzione dell’identità digitale, l’attività degli IdP deve essere limitata, salvo eventuale futuro conferimento con legge a tali soggetti di ulteriori e diversi poteri e competenze, a consentire ai SP di identificare i propri utenti e, eventualmente, acquisire conferma, da parte loro, del possesso di taluni attributi.

In tale contesto è evidente che non compete agli IdP – con conseguente incompatibilità di ogni relativo trattamento di dati personali con la disciplina europea in materia di protezione dei dati personali – né l’accertamento, per conto dei SP, dell’eventuale autorizzazione al minore alla fruizione di un servizio né la raccolta, sempre per conto del SP, dell’eventuale consenso al trattamento dei dati personali.

Lo schema in esame disciplina, infatti, la gestione dell’autorizzazione del genitore all’accesso ai singoli servizi da parte del minore nonché , laddove applicabile, il consenso che autorizza il trattamento dei dati personali dei minori da parte del SP prevedendo che sia raccolto dall’IdP, secondo le modalità individuate ai parr. 5.1 e 5.2, attraverso le estensioni SAML di cui al par. 7.1. In particolare, viene affermato che “il consenso al trattamento dei dati personali si considera reso al SP al momento dell’effettiva autenticazione, anche a fini probatori”. Tale procedura comporta, pertanto, la raccolta dell’autorizzazione del genitore e del consenso al trattamento dei dati personali da parte di un soggetto diverso (l’IdP) dal titolare del trattamento (il SP).

Ferma restando la necessaria espunzione dallo schema in esame delle previsioni relative alla raccolta dell’autorizzazione e del consenso del genitore, come anticipato nel paragrafo 2 del presente parere, si ribadisce che tale modalità di raccolta dell’autorizzazione del genitore e del consenso del minore ultraquattrordicenne non risulta soddisfare appieno i requisiti stabiliti dal Regolamento, in base ai quali il titolare è tenuto a comprovare adeguatamente la sussistenza del presupposto di liceità del trattamento in ossequio al principio di accountability (artt. 5, par. 2, 6, par. 1, lett. a), 7, 8 e 24 del Regolamento).

Al riguardo, in particolare, si rileva quanto segue:

1) la procedura in esame non consente al SP, titolare del trattamento, di dimostrare adeguatamente che l’interessato ha prestato il proprio consenso fintantoché dura l’attività di trattamento in questione, a norma dell’art. 7, par. 1, del Regolamento, anche in considerazione del fatto che, nel caso di specie, non sono individuati meccanismi che rendano disponibile a tale soggetto prova del consenso prestato dall’interessato e, comunque, non vengono indicate le modalità e il tempo di conservazione della relativa documentazione a comprova da parte dell’IdP. Come indicato nelle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, adottate dal Comitato europeo per la protezione dei dati il 4 maggio 2020, in un contesto online, in particolare, il titolare dovrebbe poter fornire questa prova, ad esempio, conservando autonomamente informazioni sulla sessione in cui è stato espresso il consenso, documentazione della procedura di consenso al momento della sessione e una copia delle informazioni presentate all’interessato in quel momento (cfr. spec. par. 108);

2) il meccanismo delineato non permette di raccogliere consensi distinti in relazione alle diverse finalità di trattamento perseguite dal SP, che, invece, potrebbero riguardare aspetti tra loro molto differenti (a questo proposito, cfr. par. 55 delle richiamate Linee guida del Comitato);

3) non essendo previste analoghe modalità per revocare il consenso così prestato, questo non sarebbe revocabile con la stessa facilità con cui viene accordato in conformità all’art. 7, par. 3, del Regolamento (a questo proposito, cfr. par. 114 delle richiamate Linee guida del Comitato).

Non si comprendono, peraltro, né sono state documentate da AgID, le ragioni per cui il consenso dovrebbe essere raccolto da un soggetto diverso dal titolare (cioè l’IdP), soggetto che non riveste alcun ruolo nel trattamento dei dati effettuato dal SP, né i benefici che tale macchinosa costruzione potrebbe portare alla protezione dei dati del minore ultraquattordicenne.

Pertanto, si invita a modificare lo schema in esame espungendo la raccolta dell’autorizzazione del genitore e del predetto consenso da parte degli IdP che, come nel generale utilizzo di SPID da parte dei maggiorenni, se necessario ai sensi dell’art. 6, par. 1, lett. a), del Regolamento, dovrà essere raccolto dal SP in seguito all’autenticazione per i trattamenti che lo richiedono.

6. Utilizzo di nuove estensioni SAML e gestione delle sessioni

Nel premettere che le attività di verifica dell’identità del minore devono risultare distinte da quelle rivolte alla verifica dell’età del minore stesso e nel rappresentare che laddove sussista l’esigenza di verificare, nella dimensione digitale, l’età di una persona – specie se minore – il trattamento di dati personali relativi all’identità della medesima persona non appare potersi considerare proporzionato alla finalità perseguita e, dunque, compatibile con la disciplina europea sulla protezione dei dati personali, lo schema di linee guida introduce specifiche estensioni SAML che il SP può riportare all’interno delle richieste di autenticazione (authRequest) e che l’IdP deve utilizzare per gestire l’accesso al servizio da parte del minore (par. 7.1). In particolare, è previsto che l’SP possa indicare l’età minima e massima per l’accesso al servizio (spid:MinAge e spid:MaxAge), l’età al di sotto della quale è richiesta l’autorizzazione del genitore (spid:AgeParentAuth), l’indirizzo della pagina web dove sono pubblicate informazioni relative al servizio offerto e al connesso trattamento dei dati personali (spid:PrivacyURL) e la necessità di raccogliere un consenso al trattamento dei dati personali del minore da parte del SP (spid:Consensus).

Al riguardo, al fine di meglio esplicitare le modalità con cui si intende impedire l’accesso da parte di un minore a servizi non destinati ai minori o non conformi all’età prevista e di assicurare la consapevolezza dei SP in relazione ai rischi insiti nell’erogazione di servizi rivolti a minori, occorre che lo schema in esame sia integrato precisando che, in caso di richiesta di autenticazione priva delle predette nuove estensioni SAML, l’IdP debba interrompere con esito negativo la procedura di autenticazione avviata con l’identità SPID di un minore.

Inoltre, lo schema di linee guida non fornisce alcuna indicazione in merito alla gestione delle sessioni di autenticazione eventualmente attivate dagli IdP in caso di autenticazione SPID. In particolare, non è chiaro come, in presenza di una sessione di autenticazione, gli IdP debbano gestire richieste di autenticazione per l’accesso a servizi diversi erogati in favore di minori (sia da parte di uno stesso SP che da parte di diversi SP), per ciascuno dei quali potrebbe non essere stata concessa l’autorizzazione da parte del genitore. Occorre, pertanto, che lo schema in esame sia integrato in tal senso, individuando le corrette modalità di gestione di tali sessioni di autenticazione.

RITENUTO

I trattamenti in esame riguardano minori, ossia soggetti vulnerabili che, come ribadito anche dal cons. 38 del Regolamento, “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore” (cfr., altresì, la Raccomandazione CM/Rec(2018)7 del Comitato dei Ministri agli Stati Membri sulle linee guida relative al rispetto, alla tutela e alla realizzazione dei diritti del bambino nell’ambiente digitale, adottata dal Comitato dei Ministri del Consiglio d’Europa il 4 luglio 2018).

Alla luce di quanto sopra, al fine di garantire il pieno rispetto dei diritti e delle libertà fondamentali degli interessati, e, in particolare, dei minori quali soggetti vulnerabili, si ritiene che lo schema di linee guida in esame debba essere modificato sulla base delle condizioni, descritte e motivate nei paragrafi da 2 a 7, puntualmente riportate nel dispositivo del presente parere, e che la valutazione di impatto sulla protezione dei dati predisposta da AgID ai sensi dell’art. 35, par. 10, del Regolamento venga di conseguenza integrata e aggiornata.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime il richiesto parere di competenza sullo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, nei termini di cui in motivazione, a condizione che:

a) i minori infraquattordicenni siano esclusi dall’applicazione delle linee guida in esame (par. 2), ad eccezione, per un periodo sperimentale (fino al 30 giugno 2023), del rilascio di SPID a minori rientranti nella fascia di età da 5 a 14 anni finalizzato alla fruizione di servizi online esclusivamente forniti dalle scuole di ogni ordine e grado a cui gli stessi, possono autonomamente accedere, assicurando che:

i) siano individuate adeguate garanzie in un’apposita sezione dello schema di linee guida in esame, sulla base di un’adeguata valutazione di impatto che tenga conto dei rischi elevati che presenta il trattamento, anche con il coinvolgimento del Ministero dell’istruzione e dei rappresentanti dei soggetti interessati, riguardanti i presupposti e le modalità di rilascio di SPID ai minori infraquattordicenni, (con l’esclusione in ogni caso della fascia d’età 0-4 anni), i trattamenti effettuabili da parte degli IdP (da limitare a quelli strettamente necessari alla gestione dell’identità digitale) e l’individuazione dei servizi che i SP (scuole) possono offrire ai minori infraquattordicenni adeguando opportunamente le relative convenzioni stipulate con AgID;

ii) l’AgID e il Ministero dell’istruzione provvedano a vigilare che l’utilizzo di tale strumento avvenga in conformità alle linee guida e, in tale quadro, entro il 30 aprile 2023, l’AgID predisponga e trasmetta a questa Autorità una relazione che indichi i servizi che si avvalgono di tale strumento SPID, il numero di identità rilasciate distinte per ciascun IdP, le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio, che tenga conto delle eventuali risultanze fornite dal Ministero dell’istruzione. E’ necessario altresì che decorso un anno dall’avvio dei trattamenti effettuati in applicazione dello schema di linee guida in esame, AgID, con il supporto degli IdP, predisponga e fornisca al Garante una relazione sull’utilizzo di SPID da parte dei minori ultraquattordicenni, indicando i servizi che si avvalgono di tale strumento, il numero di identità rilasciate distinte per ciascun IdP, le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio (parr. 2 e 3);

b) le convenzioni di adesione a SPID da parte dei SP siano integrate con una specifica sezione contenente disposizioni di garanzia per i minori nel caso in cui si intendano fornire loro servizi accessibili direttamente e venga introdotta, nel Registro SPID, una sezione dedicata ai servizi offerti dai SP ai minori (par. 3);

c) siano individuate modalità che consentano agli IdP di verificare la qualità di esercente la responsabilità sul minore in capo al soggetto che richiede l’identità SPID, anche attraverso accertamenti effettuati tramite fonti autoritative e che consentano di verificare l’esistenza e l’identità del genitore delegante, nonché di attestarne o verificarne l’effettiva volontà a delegare il genitore richiedente, ricorrendo agli strumenti che l’ordinamento richiede in situazioni analoghe (par. 4);

d) vengano precisate le modalità di identificazione del minore da parte degli IdP, nonché la fase e le modalità di acquisizione e conservazione del suo documento di identità e siano indicati gli attributi secondari del minore da fornire obbligatoriamente o in via facoltativa (par. 4);

e) al compimento della maggiore età, l’interessato debba manifestare espressamente la propria volontà di mantenere o revocare la propria identità digitale SPID, e, in assenza di una sua manifestazione di volontà entro un congruo lasso temporale, l’identità venga sospesa e, in seguito, revocata e siano previste modalità di revoca dell’identità digitale alternative rispetto all’utilizzo esclusivo di SPID specificando le informazioni che l’IdP deve cancellare al compimento della maggiore età dell’interessato e quelle che non devono essere più rese disponibili al genitore (par. 4, n. 5);

f) sia fornita ai minori richiedenti l’identità digitale una informativa con un linguaggio semplice e chiaro;

g) siano espunti dallo schema i riferimenti alla raccolta dell’autorizzazione e del consenso da parte degli IdP per i trattamenti effettuati dai SP (par. 5);

h) sia precisato che, in caso di richiesta di autenticazione priva delle nuove estensioni SAML introdotte dallo schema in esame, la procedura di autenticazione avviata con l’identità SPID di un minore sia interrotta con esito negativo e siano individuate le corrette modalità di gestione delle sessioni di autenticazione eventualmente attivate dagli IdP in caso di autenticazione con un’identità SPID attribuita a un minore (par. 6);

i) la valutazione di impatto predisposta da AgID ai sensi dell’art. 35, par. 10, del Regolamento sia integrata e aggiornata tenendo conto di quanto rappresentato nel presente parere e trasmessa al Garante prima dell’inizio dei trattamenti;

e con l’osservazione che:

- non sia precluso l’accesso ai servizi on line offerti dalle scuole agli studenti che non siano ancora in possesso di Spid, eventualmente anche consentendo loro l’utilizzo delle credenziali già in uso.

2) dispone la trasmissione del presente provvedimento anche al Ministero dell’istruzione per quanto di competenza.

Roma, 2 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei