Il quadro normativo europeo, con eIDAS e GDPR saranno lo sprone fondamentale allo Spid italiano, che quindi ancora nei prossimi mesi avrà la possibilità di svilupparsi e di dimostrarsi ingranaggio chiave della digitalizzazione della PA. Il tutto quindi nonostante i ritardi evidenziati da un recente articolo su SPID.
Vediamo perché.
Il valore di Spid in Europa con eIDAS
Com’è noto SPID è stato pre-notificato in Commissione Europea quale sistema nazionale di identificazione digitale. In seguito alla notificazione la Commissione Europea effettua un’analisi del rispetto dei requisiti di cui agli artt. 7 ed 8 del Regolamento eIDAS ed in caso di esito positivo provvede a pubblicare sulla Gazzetta Ufficiale dell’Unione europea l’elenco dei regimi di identificazione elettronica notificati (art. 9).
L’effetto principale di tale pubblicazione è quello di rendere il sistema di identificazione elettronica soggetto al riconoscimento reciproco. Ciò significa che qualora uno Stato membro consenta l’utilizzo di uno strumento di identificazione elettronica per l’accesso online ai servizi di un organismo del settore pubblico, allora dovrà essere consentito l’accesso anche tramite lo strumento di identificazione rilasciato in altro Stato membro e che sia stato notificato (e pubblicato nella GUUE).
Ad esempio, un cittadino tedesco che abbia ottenuto un’identità digitale presso il suo Paese tramite un sistema nazionale notificato ha diritto di accedere, con tale identità digitale, ai servizi online disponibili negli altri Stati membri (previsione che diventerà pienamente operativa dal 29 settembre 2018). E poiché solo Spid consente questa interoperabilità – ossia l’accesso del cittadino tedesco la sua identità digitale nazionale – ne deriva per le PA italiane un obbligo ancora più forte a adeguarsi a Spid. Altrimenti, rischiano di essere inadempienti verso una normativa europea (laddove l’obbligo italiano a adottare Spid, invece, com’è noto, è privo di sanzioni).
La norma insomma, se letta in combinato disposto con il primo comma dell’art. 3 bis del Codice dell’amministrazione digitale, secondo cui “Chiunque ha il diritto di accedere ai servizi on-line offerti dai soggetti di cui all’articolo 2, comma 2, lettere a) e b), tramite la propria identità digitale”, rende ancor più pregnante per tutte le pubbliche amministrazioni e per i gestori di servizi pubblici, compresi le società quotate, la necessità di rendere disponibili online i propri servizi tramite lo SPID e gli altri sistemi di identificazione nazionali notificati.
E’ opportuno sottolineare che tale ultima previsione correttamente individua quali portatori del diritto di accesso ai servizi online una massa indistinta di soggetti, definita con la parola “chiunque”. Non solo, quindi, i cittadini italiani o le imprese stabilite in Italia, ma qualsiasi soggetto che sia dotato di uno strumento di identità digitale tra quelli riconosciuti nell’Unione Europea.
La previsione che chiude il quadro normativo è l’art. 12 del Regolamento eIDAS, che stabilisce il requisito di interoperabilità tra i vari sistemi di identificazione elettronica nazionali. Ogni sistema, quindi, deve consentire l’utilizzo delle identità digitali rilasciate nell’ambito degli altri, ed a tali fini è stabilito un quadro comune di collaborazione tra i vari Stati. A tal fine la Commissione Europea ha da poco tempo chiuso le consultazioni sulla bozza di Principi e linee guida per l’interoperabilità delle identità digitali per le piattaforme online che saranno, quindi, a breve pubblicate nella versione finale.
Recentemente, inoltre, Agid ha pubblicato le linee guida per l’abilitazione dei service provider privati. Tali soggetti potranno fornire un forte impulso all’uso dello SPID, che potrà essere anche collegato con sistemi di firma elettronica avanzata dando piena validità probatoria ai documenti informatici (sulla base della nuova “firma identificata” disciplinata dal Codice dell’Amministrazione Digitale).
Non bisogna poi dimenticare che, già la legge 124/2017 (Concorrenza) prevedeva la possibilità di utilizzare lo SPID ai fini della migrazione dei contratti di telefonia con gli operatori.
E’ evidente, quindi, che lo SPID non è un sistema destinato ad avere rilevanza solo italiana (al contrario di altri strumenti quali la Carta Nazionale dei Servizi), ma è lo strumento che sempre più assumerà rilevanza in ambito europeo, proprio per la spinta e gli sforzi che la Commissione Europea ed i Paesi membri stanno infondendo sui sistemi di identificazione elettronica.
Il valore di Spid alla luce del Gdpr
Dall’altra, è evidente che anche l’entrata in vigore del GDPR avrà impatti non indifferenti sulle modalità di accesso dei servizi delle pubbliche amministrazioni. Lo stesso regolamento eIDAS, ancor prima della pubblicazione del GDPR, prevedeva all’art. 12 che il quadro di interoperabilità tra i sistemi deve facilitare “l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design)“.
L’art. 25 del GDPR sostanzia tale principio, chiarendo che il titolare, sia al momento di determinare i mezzi del trattamento sia durante il trattamento, deve mettere in atto misure tecniche ed organizzative che siano in grado di minimizzare il trattamento dei dati anche con tecniche di pseudonimizzazione degli stessi.
Le pubbliche amministrazioni, quindi, con l’entrata in vigore del GDPR si troveranno di fronte ad un bivio. Da una parte scegliere di mantenere sistemi di autenticazione degli utenti non basati sullo SPID, attraverso la gestione di database in cui sono raccolte le informazioni necessarie all’identificazione per l’erogazione online del servizio (quali user-id, password, identità dell’utente associata, eventuali numeri identificativi, quale il codice fiscale, etc.).
Dall’altra utilizzare un sistema SPID in cui i dati di autenticazione (ed identificazione) del soggetto non sono conservati dall’amministrazione, ma vengono verificati tramite i servizi dei gestori dell’identità digitale.
E’ evidente che la prima soluzione potrebbe risultare contraria al principio di privacy by design. Dal momento in cui la normativa nazionale individua uno strumento, lo SPID, che consente di assolvere alla stessa funzione di autenticazione ai servizi online minimizzando il trattamento dei dati da parte del Titolare (ossia, nel caso specifico, la pubblica amministrazione che eroga il servizio online), risulterebbe difficile giustificare la scelta di non attivare lo SPID utilizzando esclusivamente un sistema di autenticazione che implica un’ulteriore trattamento.
Tale scelta, inoltre, ha degli effetti anche in termini economici, in quanto la tenuta di un autonomo database di credenziali di autenticazione comporta per la P.A. la necessità di adottare le dovute misure di sicurezza, con evidente dispendio aggiuntivo di denaro, e l’approntamento di procedure ulteriori (relative alla gestione delle credenziali).
La decisione, pertanto, difficilmente potrebbe trovare giustificazione, sia dal punto di vista del rispetto della normativa del GDPR sia quale impegno economico aggiuntivo rispetto a soluzioni più vantaggiose.
Per concludere, a noi sembra che la sempre maggior diffusione dei sistemi di identificazione elettronica in ambito europeo, grazie anche alla spinta che la Commissione Europea sta dando a tali strumenti (previsti anche quali validi sistemi per l’assolvimento degli obblighi antiriclaggio o per la sicurezza delle transazioni su telefonia mobile), l’operatività delle norme di interoperabilità a decorrere dal 29 settembre 2018 nonché la piena applicazione del GDPR, a decorrere dal 25 maggio 2018, sono tutti elementi che costituiranno un incentivo per le pubbliche amministrazioni italiane all’integrazione dei loro sistemi con SPID, anche in un’ottica di piena compliance con i principi e gli obblighi che tali normative impongono.
