All’importanza delle novità che saranno introdotte dalla nuova versione del Regolamento eIDAS, ossia l’eIDAS 2, accolte in linea teorica come necessarie per poter davvero considerare lo spazio europeo come uno spazio anche digitalmente comune e condiviso, si affiancano alcune criticità di ordine operativo, in particolare per quel che concerne il settore della protezione dei dati personali.
Si prospetta una convivenza con il GDPR e sarebbe opportuno integrare fina dalle fasi di elaborazione delle nuove norme le giuste soluzioni di protezione e difesa del diritto alla privacy.
Ma andiamo per gradi.
Identificazione elettronica e identità digitale
Come noto, tra le diverse sfide raccolte nell’ultimo decennio dagli Stati mondiali, ha acquisito un certo rilievo quella dell’identificazione elettronica e dell’identificativo digitale. Si tratta di concetti da non confondere con l’identità digitale in sé, ossia sulla rappresentazione della persona all’interno del mondo “virtuale” e della sempre più cogente necessità di differenziare e riconoscere lo status e l’importanza della affermazione della propria personalità all’interno delle strutture sociali digitali.
L’identificazione elettronica è, invece, la capacità di riconoscere e appunto identificare la persona fisica tramite uno strumento ed un controllo a distanza, capace di riconoscere e verificare con certezza il soggetto fisico (a cui corrispondono tutta una serie di dati e documenti atti a questo scopo) con il soggetto digitale che sta compiendo una certa interazione.
La questione, molto vivace nel decennio scorso, si era parzialmente sopita in seguito ad un indubbio sforzo di digitalizzazione compiuto dai Paesi europei, Italia compresa, i quali con modalità eterogenee hanno predisposto strumenti e criteri per riuscire ad identificare i cittadini attraverso mezzi elettronici. Questo tipo di identificazione, come intuibile, ha facilitato la possibilità per gli utenti dei servizi pubblici e di pubblico interesse di poter accedere digitalmente a funzioni vincolate fino a pochi decenni fa al supporto fisico degli uffici amministrativi. La digitalizzazione delle pubbliche amministrazioni, soprattutto dal lato del rapporto Stato-cittadino, non può infatti prescindere da tutta una serie di requisiti, primo tra tutti la certezza dell’identità dell’utente. Solo a partire da tale certezza, che comporta sicurezze in termini di rispetto della privacy e di ogni altro diritto o legittimo interesse collegato alla persona fisica, l’amministrazione pubblica può irrogare servizi e funzioni a distanza con modalità equipollenti a quelle fisiche.
Identificazione digitale su scala transfrontaliera
Se il discorso sull’identificazione digitale nazionale è quindi in certa maniera “risolto”, rimane invece ancora in pectore l’allargamento di tale applicazione su scala transfrontaliera – ed in particolar modo europea.
Il regolamento eIDAS
Tale dibattito, apertosi nel 2014 con l’eIDAS (Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”) ha ripreso di attualità nel 2021, in seguito ad alcuni emendamenti proposti sul testo originale del Regolamento. Allargando ancora di più la lente di analisi, si evince la rinnovata esigenza, da parte delle istituzioni europee, di individuare strumenti di identificazione digitali che possano sposare l’obiettivo di governance digitale dell’Unione. In tal senso l’eIDAS propone un approccio interoperativo morbido, stabilendo alcuni criteri minimi che ogni identificativo digitale nazionale deve rispettare per poter essere riconosciuto nei rapporti tra gli Stati. Allo stesso modo, gli emendamenti del 2021 sono stati solo parzialmente recepiti dalla direttiva 2022/2555, mantenendo di fatto lo status quo già raggiunto dal testo originale.
I limiti del Regolamento eIDAS
I limiti del Regolamento eIDAS, senza addentrarsi in disquisizioni troppo lunghe per questa sede, sono da riscontrare nella mancanza di un vero e proprio strumento europeo di identificazione (capace di sorpassare il principio di interoperabilità, adottando quello di omogeneità), la mancanza di un sistema di riconoscimento armonico all’interno del panorama europeo e la mancanza di un database europeo dei dati così registrati – in maniera quindi da decentralizzare le attività di identificazione digitale dei cittadini. Tali criticità hanno comportato, nella realtà fattuale delle operazioni digitali dell’Unione, un vero e proprio vuoto strumentale, tale per cui sia il mercato digitale europeo, sia i servizi amministrativi “transfrontalieri” siano ad oggi gestiti caso per caso, con conseguenti disagi per la corretta fruizione da parte degli utenti.
Verso eIDAS 2
Per colpa di questo basso livello di coinvolgimento è attualmente in bozza l’eIDAS 2. Si tratta di una novità normativa molto discussa, che si concentra su alcune importanti novità: la creazione di un portafoglio digitale, attraverso il quale i cittadini europei potranno utilizzare sistemi di firma elettronica qualificata e riconosciuta da tutti gli Stati membri; un sistema di riconoscimento ed autenticazione (sia semplice che qualificata) collegato al portafoglio di cui sopra, una sorta di carta d’identità digitale europea; una nuova impostazione per i servizi fiduciari qualificati, che dovranno confluire all’interno dell’e-archiving europeo; la possibilità della delega digitale ed ovviamente il riconoscimento dell’identificativo all’interno dei servizi digitali dei singoli Paesi.
Le criticità sul fronte della protezione dei dati personali
Veniamo quindi alle criticità di ordine operativo, in particolare per quel che concerne il settore della protezione dei dati personali.
La convivenza di eIDAS e GDPR
Un primo problema è quello relativo alla responsabilità concernente il trattamento dei dati erroneo e irregolare. Il Regolamento eIDAS attuale, infatti, presenta un sistema piuttosto compartimentato, nel quale ogni singola fase della creazione, archiviazione, documentazione ed utilizzo del dato inerente all’identificativo digitale risponde ad un preciso responsabile (inteso nel senso civilistico del termine). Non parliamo di un’individuazione puntuale, chiaramente, ma rimane un approccio piuttosto univoco nella delineazione dei rapporti di oneri e doveri scaturenti dalla mala gestio dell’identificativo elettronico. Il GDPR, al contrario, prevede una maggiore fluidità e condivisione della responsabilità dei trattamenti, certo individuando i titolari, i responsabili, nonché tracciando i rapporti tra gli stessi, allo stesso modo però conservando un’attribuzione solidale del trattamento a queste figure, almeno per quanto concerne gli obblighi imposti dalla normativa nei confronti degli interessati. Si tratta, è evidente, di una scelta garantista, a protezione della parte debole del rapporto (appunto, la persona fisica interessata).
Lo sbilanciamento tra le due discipline andrebbe risolto in termini di risoluzione dei conflitti normativi, a seconda di come considerare la convivenza di eIDAS e GDPR. In caso di interpretazione “coabitativa” si potrebbe optare per un’applicazione duplice – stante le diverse ratio delle norme – che però porrebbe il fianco ad aspre critiche sulla violazione del ne bis in idem. In caso invece di soccombenza, bisognerebbe capire – e non si tratta di una risposta veloce – se considerare l’eIDAS lex specialis oppure no. Tali dubbi acquistano ancora più forza nel momento in cui eIDAS 2 si propone come strumento ampliativo del trattamento di identificazione digitale già avviato dalla sua precedente versione.
La minimizzazione dei dati
Un secondo problema è quello inerente al principio della minimizzazione dei dati utilizzati per un dato trattamento, minimizzazione che la creazione dell’e-wallet sembrerebbe per parte della dottrina essere, almeno potenzialmente, violata. L’eIDAS 2 prevede come sopra riportato una sorta di decentramento nazionale dei trattamenti, il quale però è de facto un accentramento dello stesso all’interno dello strumento di portafoglio digitale europeo.
Da un lato, chiaramente, si velocizzano le procedure di raffronto, raccolta dei dati ed elaborazione delle pratiche collegate al mercato digitale e ad ogni altro servizio basato sull’identificazione tramite e-wallet europeo. Allo stesso modo, però, si andrebbe ad incentivare un trattamento di massa di dati personali spesso sovrabbondanti rispetto alle esigenze delle singole fattispecie. Basti pensare ai servizi che necessitano di verificare solo la maggiore età dell’individuo, senza però dover raccogliere anche la data, o il nome o il sesso dello stesso.
Il problema della minimizzazione, ovviamente, riverbera su tutta la struttura di compliance voluta dal GDPR, dovendosi quindi analizzare non solo dal mero punto di vista del trattamento sovrabbondante, ma anche dalle potenzialità lesive della circolazione estensiva e transnazionale dei dati dei cittadini europei. Tra l’altro, anche strutturando il sistema di interoperabilità in maniera da garantire accessi selettivi ai dati, permarrebbe l’annosa discussione inerente alla diversa sensibilità degli Stati Membri nei confronti delle politiche di protezione dei dati personali, ancora oggi non perfettamente armonizzate né completamente omogenee in un raffronto tra le diverse legislazioni nazionali di recepimento.
Conclusioni
Arrivando alle conclusioni, si deve sottolineare che il percorso del Regolamento eIDAS ed eIDAS 2 continua ad essere l’unico verso sentiero da intraprendere per completare quel processo di digitalizzazione necessario per assicurare al mercato digitale europeo, e ad ogni cittadino, un servizio rapido, fluido ed al passo con le politiche di aggiornamento dell’UE. Certo è, però, che, se queste modernizzazioni comportano gioco forza un certo margine di compromesso e compressione di alcune esigenze a favore di altre, è anche vero che sarebbe più produttivo introdurre ed integrare le giuste soluzioni di protezione e difesa dei valori scaturenti dal rispetto del diritto alla privacy già in fase di elaborazione e non successivamente. Il rischio è quello di ritrovarsi con un eIDAS 2 nuovamente lacunoso, poco chiaro e quindi disatteso nella successiva applicazione materiale da parte dei Paesi europei.
