Stabilita la collaborazione tra Garante e Agid per la
vigilanza sul sistema
Prosegue il lavoro di implementazione dello Spid, il sistema
pubblico per la gestione dell'identità digitale di cittadini e imprese, con il
parere favorevole [doc. web n. 4538528] del
Garante privacy su due
provvedimenti dell'Agid. Il primo
relativo ad una versione aggiornata di uno
schema di regolamento che disciplina le modalità attuative per la
realizzazione del sistema; il secondo riguardante lo schema tipo di convenzione
che regola i rapporti fra l'Agid e i gestori dell'identità digitale.
Sia la versione aggiornata del regolamento sia lo schema di
convenzione sono stati elaborati
dall'Agid all'esito di riunioni avute con l'Ufficio del Garante,
modificando e integrando l'originaria formulazione di alcuni articoli, alla
luce delle osservazioni emerse durante il tavolo tecnico.
Per quanto riguarda il regolamento, sono stati apportati
alcuni perfezionamenti che riguardano,
in particolare, il rafforzamento dei controlli dell'Agid in tema di sicurezza
informatica e protezione dei dati; una più puntuale definizione delle modalità
di conservazione della documentazione inerente la creazione e il rilascio
dell'identità digitale; la
specificazione delle caratteristiche del servizio all'utente dell'avvenuto utilizzo delle sue credenziali;
una migliore esplicitazione delle procedure di sospensione e revoca dei
gestori. E' stata inoltre sancita la collaborazione tra Agid e Garante Privacy
con l'obiettivo di vigilare sul funzionamento di un sistema così delicato.
Il Garante, tuttavia, attribuendo particolare importanza
alla materia in esame, per le implicazioni che possono derivare alla
riservatezza e alla tutela dei dati personali di milioni di cittadini, ha ritenuto
necessario innalzare ulteriormente i livelli di garanzia. L'Autorità ha
chiesto, in particolare, di perfezionare la descrizione dei differenti livelli
di sicurezza delle identità digitali Spid, per rendere più coerente il
regolamento con quanto previsto dalla normativa europea in materia. E'
necessario, inoltre, specificare che, se il gestore dell'identità digitale
fornisce solo l'identificazione da remoto come modalità per la verifica
dell'identità del richiedente, ciò deve essere
messo in evidenza, oltre che nelle condizioni e termini del contratto,
anche nell'informativa da rendere all'utente.
Per quanto riguarda poi la convenzione relativa ai gestori
dell'identità digitale essa risulta sostanzialmente conforme alle indicazioni
rese durante il tavolo tecnico. Sono state, innalzate le garanzie previste
dalla normativa sulla protezione dati nel caso in cui il gestore si avvalga di
soggetti esterni per la fornitura dell'identità
digitale e specificati gli obblighi dei gestori riguardo al trattamento dei
dati, alle misure di sicurezza e agli strumenti crittografici adottati.
Precisate, inoltre, le modalità di comunicazione da parte del gestore di
eventuali violazioni o intrusioni nei dati personali (i c.d. data breach) e le
procedure che l'Agid è tenuta ad adottare in caso di inadempimenti del gestore.
Nessun commento:
Posta un commento