Bolognini: “Spid, troppi buchi nella privacy. Ecco come rimediare”

Sarebbe urgente che l’Agenzia per l’Italia digitale e il Garante Privacy stabilissero un piano congiunto di controlli diversi dalla mera data security, magari chiedendo anche ai Gestori la produzione di report periodici redatti da auditor privacy indipendenti e terzi. E sarebbe utile che il Garante emanasse, quanto prima possibile, un Provvedimento Generale simile a quello rilasciato nel 2014 con riferimento al mobile payment

Pubblicato il 21 Mar 2016

Luca Bolognini

avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati

privacy-data-protection-120123151343

E’ finalmente attivo SPID, dal 15 marzo 2016. Il Sistema Pubblico di Identità Digitale consente ai cittadini-utenti di essere identificati – con diversi gradi di forza e affidabilità – per la fruizione di servizi pubblici on line e, in prospettiva, anche di servizi digitali privati. Personalmente, auspico che in pochi anni questo sistema ci porti non solo alla crescita esponenziale dell’interazione telematica in chiave business o di fruizione di servizi pubblici, ma anche a nuove forme di democrazia digitale (per esempio superando una volta per tutte, con SPID e le firme elettroniche qualificate, l’obsoleto sistema delle autenticazioni delle firme raccolte per la presentazione di liste alle elezioni o di referendum).

L’innovazione è dunque significativa, sebbene non manchino le critiche, da più parti, per le scelte del legislatore e del Governo che hanno favorito un sistema di fatto riservato a pochi fornitori (in particolare per quanto riguarda i Gestori delle Identità, che necessitano di requisiti patrimoniali ed organizzativi che costituiscono vere e proprie “barriere naturali” all’entrata) e che hanno optato per una soluzione a costo (quasi) zero per le casse pubbliche, puntando invece tutto sulle tasche private, cioè sulla possibilità per i provider coinvolti a vario titolo nel sistema di rientrare degli investimenti facendo pagare ai cittadini l’utilizzo del sistema di identificazione (oggi in parte, tra due anni per tutto). Tant’è, ce ne faremo una ragione.

Alle critiche costruttive già condivise in questi mesi, si possono aggiungere ulteriori dubbi. C’è, innanzitutto, un tema di temporanea carenza di poteri di controllo, che merita la nostra attenzione ma forse andrà a risolversi in poche settimane (e nel mentre?). L’emanando decreto di modifica del Codice dell’Amministrazione Digitale (CAD) prevede, nella formulazione attualmente disponibile, che l’Agid eserciti (art. 13.2.h) la vigilanza, tra gli altri, sui soggetti, pubblici e privati, che partecipano a SPID; nell’esercizio di tale funzione l’Agenzia potrà irrogare a carico dei soggetti vigilati le sanzioni amministrative in relazione alla gravità della violazione accertata e all’entità del danno provocato all’utenza, per importi da un minimo di euro 2.000,00 a un massimo di euro 20.000,00. Nei casi di particolare gravità l’Agid potrà disporre la cancellazione del soggetto dall’elenco dei soggetti qualificati. E’ anche previsto che l’Agid, prima di irrogare la sanzione amministrativa di cui al comma 1, diffidi i soggetti a conformare la propria condotta agli obblighi previsti dal Regolamento eIDAS e dal CAD, fissando un termine e disciplinando le relative modalità per adempiere. Lascia perplessi che si sia fatto partire il sistema SPID prima del vigore questa norma, dovendo considerare di essere – al momento – almeno parzialmente sguarniti di una piena vigilanza e capacità sanzionatoria in ambito SPID.

Da un punto di vista privacy, devo ammettere che le norme di copertura – che hanno istituito e regolano il sistema SPID – sono state di poche parole, limitandosi in alcuni punti a richiamare l’obbligo di rispettare, genericamente, il Codice in materia di protezione dei dati personali. Certo, sia il DPCM 24 ottobre 2014 sia gli schemi di convenzione – sui quali ha dato pareri lo stesso Garante Privacy – prevedono stringenti misure di sicurezza per i sistemi e i dati in essi elaborati/trasmessi: troviamo persino obblighi di cosiddetta “data breaches notification” e cioè di pronta allerta rivolta ad Agid e al Garante in caso di violazioni della sicurezza. Ma si tratta, appunto, di misure che restano al “piano terra” della tecnologia e che non riguardano i “piani alti” delle finalità e delle modalità del trattamento di dati da parte dei provider coinvolti in SPID.

Faccio un esempio semplice: ogni Gestore dell’Identità Digitale – sono 3 al momento, una posizione di estremo privilegio informativo – svolge anche altri mestieri, che consistono nella fornitura di altro genere di beni/servizi (telefonici, bancari ecc.). E’ ipotizzabile, entro certi limiti e previa idonea informativa agli interessati, che tali Gestori incrocino anche dati raccolti in pregresso – nella relazione con i cittadini-utenti già clienti degli altri loro beni/servizi – allo scopo di elaborare elementi di validazione continua dell’identità per fini di prevenzione delle frodi e delle altre minacce di sicurezza. Ottimo, ragionevole. Ma nulla si dice, nelle norme SPID, sul doveroso rispetto del principio di finalità del trattamento di dati personali: i Gestori delle Identità sono, infatti, fornitori di un servizio pubblico e non dovrebbero poter utilizzare i dati trattati per l’identificazione dei cittadini-utenti per altri scopi (es. per profilazione commerciale), se non in presenza di un consenso specifico e chiarissimo reso dagli interessati. Come evitare che i Gestori facciano, senza l’ok consapevole dell’utente, delle profilazioni occulte comportamentali sfruttando la miniera di dati SPID per la commercializzazione di altri propri servizi o comunque per l’arricchimento dei dati dei propri clienti? Non ci resta che confidare nella virtù self-compliant degli Identity Provider?

Sarebbe urgente che Agid e il Garante stabilissero un piano congiunto di controlli su questi aspetti diversi dalla mera data security, magari chiedendo anche ai Gestori la produzione di report periodici redatti da auditor privacy indipendenti e terzi; e sarebbe utile che il Garante emanasse, quanto prima possibile, un Provvedimento Generale simile a quello rilasciato nel 2014 con riferimento al mobile payment, in grado di specificare le regole di raccolta dei consensi per incrocio/elaborazione (anche massiva, Big) dei dati raccolti dai vari soggetti SPID a fini commerciali e promozionali.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2