IT - Garante Privacy: stabilita la collaborazione tra Garante e Agid per rafforzare le garanzie privacy per i cittadini e le imprese
Il Garante Privacy ha fornito all’Agid (Agenzia per l’Italia digitale) due pareri favorevoli per il completamento del lavoro di implementazione dello Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese, il primo relativo ad una versione aggiornata di uno schema di regolamento che disciplina le modalità attuative per la realizzazione del sistema; il secondo riguardante lo schema tipo di convenzione che regola i rapporti fra l’Agid e i gestori dell’identità digitale.
Per quanto riguarda il regolamento che disciplina le modalità attuative dello Spid, sono stati apportati alcuni perfezionamenti che riguardano, in particolare:
- il rafforzamento dei controlli dell’Agid in tema di sicurezza informatica e protezione dei dati;
- una più puntuale definizione delle modalità di conservazione della documentazione inerente la creazione e il rilascio dell’identità digitale;
- la specificazione delle caratteristiche del servizio all’utente dell’avvenuto utilizzo delle sue credenziali;
- una migliore esplicitazione delle procedure di sospensione e revoca dei gestori.
Il Garante, attribuendo particolare importanza alla materia in esame, ha ritenuto necessario innalzare ulteriormente i livelli di garanzia. Infatti, l’Autorità ha chiesto, in particolare, di perfezionare la descrizione dei differenti livelli di sicurezza delle identità digitali Spid, per rendere più coerente il regolamento con quanto previsto dalla normativa europea in materia.
Inoltre, afferma il Garante, è necessario specificare che, se il gestore dell’identità digitale fornisce solo l’identificazione da remoto come modalità per la verifica dell’identità del richiedente, ciò deve essere messo in evidenza, oltre che nelle condizioni e termini del contratto, anche nell’informativa da rendere all’utente.
Quanto alla convenzione relativa ai gestori dell’identità digitale, essa appare sostanzialmente conforme alle indicazioni rese dall’Ufficio del Garante durante il tavolo tecnico.
In particolare è stato migliorato il contenuto della convenzione relativamente alle garanzie previste dalla normativa sulla protezione dei dati personali nel caso in cui il gestore si avvalga di soggetti esterni per la fornitura del servizio d’identità digitale oltre alle modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali.
(Garante per la protezione dei dati personali, Provvedimento 17 dicembre 2015, n. 660)
Il Garante Privacy ha fornito all’Agid (Agenzia per l’Italia digitale) due pareri favorevoli per il completamento del lavoro di implementazione dello Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese, il primo relativo ad una versione aggiornata di uno schema di regolamento che disciplina le modalità attuative per la realizzazione del sistema; il secondo riguardante lo schema tipo di convenzione che regola i rapporti fra l’Agid e i gestori dell’identità digitale.
Per quanto riguarda il regolamento che disciplina le modalità attuative dello Spid, sono stati apportati alcuni perfezionamenti che riguardano, in particolare:
- il rafforzamento dei controlli dell’Agid in tema di sicurezza informatica e protezione dei dati;
- una più puntuale definizione delle modalità di conservazione della documentazione inerente la creazione e il rilascio dell’identità digitale;
- la specificazione delle caratteristiche del servizio all’utente dell’avvenuto utilizzo delle sue credenziali;
- una migliore esplicitazione delle procedure di sospensione e revoca dei gestori.
Il Garante, attribuendo particolare importanza alla materia in esame, ha ritenuto necessario innalzare ulteriormente i livelli di garanzia. Infatti, l’Autorità ha chiesto, in particolare, di perfezionare la descrizione dei differenti livelli di sicurezza delle identità digitali Spid, per rendere più coerente il regolamento con quanto previsto dalla normativa europea in materia.
Inoltre, afferma il Garante, è necessario specificare che, se il gestore dell’identità digitale fornisce solo l’identificazione da remoto come modalità per la verifica dell’identità del richiedente, ciò deve essere messo in evidenza, oltre che nelle condizioni e termini del contratto, anche nell’informativa da rendere all’utente.
Quanto alla convenzione relativa ai gestori dell’identità digitale, essa appare sostanzialmente conforme alle indicazioni rese dall’Ufficio del Garante durante il tavolo tecnico.
In particolare è stato migliorato il contenuto della convenzione relativamente alle garanzie previste dalla normativa sulla protezione dei dati personali nel caso in cui il gestore si avvalga di soggetti esterni per la fornitura del servizio d’identità digitale oltre alle modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali.
(Garante per la protezione dei dati personali, Provvedimento 17 dicembre 2015, n. 660)