E’ finalmente attivo SPID, dal 15 marzo 2016. Il Sistema Pubblico di Identità Digitale consente ai cittadini-utenti di essere identificati – con diversi gradi di forza e affidabilità – per la fruizione di servizi pubblici on line e, in prospettiva, anche di servizi digitali privati. Personalmente, auspico che in pochi anni questo sistema ci porti non solo alla crescita esponenziale dell’interazione telematica in chiave business o di fruizione di servizi pubblici, ma anche a nuove forme di democrazia digitale (per esempio superando una volta per tutte, con SPID e le firme elettroniche qualificate, l’obsoleto sistema delle autenticazioni delle firme raccolte per la presentazione di liste alle elezioni o di referendum).
L’innovazione è dunque significativa, sebbene non manchino le critiche, da più parti, per le scelte del legislatore e del Governo che hanno favorito un sistema di fatto riservato a pochi fornitori (in particolare per quanto riguarda i Gestori delle Identità, che necessitano di requisiti patrimoniali ed organizzativi che costituiscono vere e proprie “barriere naturali” all’entrata) e che hanno optato per una soluzione a costo (quasi) zero per le casse pubbliche, puntando invece tutto sulle tasche private, cioè sulla possibilità per i provider coinvolti a vario titolo nel sistema di rientrare degli investimenti facendo pagare ai cittadini l’utilizzo del sistema di identificazione (oggi in parte, tra due anni per tutto). Tant’è, ce ne faremo una ragione.
Alle critiche costruttive già condivise in questi mesi, si possono aggiungere ulteriori dubbi. C’è, innanzitutto, un tema di temporanea carenza di poteri di controllo, che merita la nostra attenzione ma forse andrà a risolversi in poche settimane (e nel mentre?). L’emanando decreto di modifica del Codice dell’Amministrazione Digitale (CAD) prevede, nella formulazione attualmente disponibile, che l’Agid eserciti (art. 13.2.h) la vigilanza, tra gli altri, sui soggetti, pubblici e privati, che partecipano a SPID; nell’esercizio di tale funzione l’Agenzia potrà irrogare a carico dei soggetti vigilati le sanzioni amministrative in relazione alla gravità della violazione accertata e all’entità del danno provocato all’utenza, per importi da un minimo di euro 2.000,00 a un massimo di euro 20.000,00. Nei casi di particolare gravità l’Agid potrà disporre la cancellazione del soggetto dall’elenco dei soggetti qualificati. E’ anche previsto che l’Agid, prima di irrogare la sanzione amministrativa di cui al comma 1, diffidi i soggetti a conformare la propria condotta agli obblighi previsti dal Regolamento eIDAS e dal CAD, fissando un termine e disciplinando le relative modalità per adempiere. Lascia perplessi che si sia fatto partire il sistema SPID prima del vigore questa norma, dovendo considerare di essere – al momento – almeno parzialmente sguarniti di una piena vigilanza e capacità sanzionatoria in ambito SPID.
Da un punto di vista privacy, devo ammettere che le norme di copertura – che hanno istituito e regolano il sistema SPID – sono state di poche parole, limitandosi in alcuni punti a richiamare l’obbligo di rispettare, genericamente, il Codice in materia di protezione dei dati personali. Certo, sia il DPCM 24 ottobre 2014 sia gli schemi di convenzione – sui quali ha dato pareri lo stesso Garante Privacy – prevedono stringenti misure di sicurezza per i sistemi e i dati in essi elaborati/trasmessi: troviamo persino obblighi di cosiddetta “data breaches notification” e cioè di pronta allerta rivolta ad Agid e al Garante in caso di violazioni della sicurezza. Ma si tratta, appunto, di misure che restano al “piano terra” della tecnologia e che non riguardano i “piani alti” delle finalità e delle modalità del trattamento di dati da parte dei provider coinvolti in SPID.
Faccio un esempio semplice: ogni Gestore dell’Identità Digitale – sono 3 al momento, una posizione di estremo privilegio informativo – svolge anche altri mestieri, che consistono nella fornitura di altro genere di beni/servizi (telefonici, bancari ecc.). E’ ipotizzabile, entro certi limiti e previa idonea informativa agli interessati, che tali Gestori incrocino anche dati raccolti in pregresso – nella relazione con i cittadini-utenti già clienti degli altri loro beni/servizi – allo scopo di elaborare elementi di validazione continua dell’identità per fini di prevenzione delle frodi e delle altre minacce di sicurezza. Ottimo, ragionevole. Ma nulla si dice, nelle norme SPID, sul doveroso rispetto del principio di finalità del trattamento di dati personali: i Gestori delle Identità sono, infatti, fornitori di un servizio pubblico e non dovrebbero poter utilizzare i dati trattati per l’identificazione dei cittadini-utenti per altri scopi (es. per profilazione commerciale), se non in presenza di un consenso specifico e chiarissimo reso dagli interessati. Come evitare che i Gestori facciano, senza l’ok consapevole dell’utente, delle profilazioni occulte comportamentali sfruttando la miniera di dati SPID per la commercializzazione di altri propri servizi o comunque per l’arricchimento dei dati dei propri clienti? Non ci resta che confidare nella virtù self-compliant degli Identity Provider?
Sarebbe urgente che Agid e il Garante stabilissero un piano congiunto di controlli su questi aspetti diversi dalla mera data security, magari chiedendo anche ai Gestori la produzione di report periodici redatti da auditor privacy indipendenti e terzi; e sarebbe utile che il Garante emanasse, quanto prima possibile, un Provvedimento Generale simile a quello rilasciato nel 2014 con riferimento al mobile payment, in grado di specificare le regole di raccolta dei consensi per incrocio/elaborazione (anche massiva, Big) dei dati raccolti dai vari soggetti SPID a fini commerciali e promozionali.
