Il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese. Aggiornamenti.

Prosegue il lavoro di implementazione dello Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese, con il parere favorevole del Garante privacy su due provvedimenti dell’Agid. Il primo relativo ad una versione aggiornata di uno schema di regolamento che disciplina le modalità attuative per la realizzazione del sistema; il secondo riguardante lo schema tipo di convenzione che regola i rapporti fra l’Agid e i gestori dell’identità digitale.

Sia la versione aggiornata del regolamento sia lo schema di convenzione sono stati elaborati dall’Agid all’esito di riunioni avute con l’Ufficio del Garante, modificando e integrando l’originaria formulazione di alcuni articoli, alla luce delle osservazioni emerse durante il tavolo tecnico.

Per quanto riguarda il regolamento, sono stati apportati alcuni perfezionamenti che riguardano, in particolare, il rafforzamento dei controlli dell’Agid in tema di sicurezza informatica e protezione dei dati; una più puntuale definizione delle modalità di conservazione della documentazione inerente la creazione e il rilascio dell’identità digitale; la specificazione delle caratteristiche del servizio all’utente dell’avvenuto utilizzo delle sue credenziali; una migliore esplicitazione delle procedure di sospensione e revoca dei gestori. E’ stata inoltre sancita la collaborazione tra Agid e Garante Privacy con l’obiettivo di vigilare sul funzionamento di un sistema così delicato.

Il Garante, tuttavia, attribuendo particolare importanza alla materia in esame, per le implicazioni che possono derivare alla riservatezza e alla tutela dei dati personali di milioni di cittadini, ha ritenuto necessario innalzare ulteriormente i livelli di garanzia. L’Autorità ha chiesto, in particolare, di perfezionare la descrizione dei differenti livelli di sicurezza delle identità digitali Spid, per rendere più coerente il regolamento con quanto previsto dalla normativa europea in materia. E’ necessario, inoltre, specificare che, se il gestore dell’identità digitale fornisce solo l’identificazione da remoto come modalità per la verifica dell’identità del richiedente, ciò deve essere messo in evidenza, oltre che nelle condizioni e termini del contratto, anche nell’informativa da rendere all’utente.

Per quanto riguarda poi la convenzione relativa ai gestori dell’identità digitale essa risulta sostanzialmente conforme alle indicazioni rese durante il tavolo tecnico. Sono state, innalzate le garanzie previste dalla normativa sulla protezione dati nel caso in cui il gestore si avvalga di soggetti esterni per la fornitura dell’identità digitale e specificati gli obblighi dei gestori riguardo al trattamento dei dati, alle misure di sicurezza e agli strumenti crittografici adottati. Precisate, inoltre, le modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali (i c.d. data breach) e le procedure che l’Agid è tenuta ad adottare in caso di inadempimenti del gestore.
Con l’istituzione del Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese (SPID) le pubbliche amministrazioni potranno consentire l’accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d’identità elettronica e la carta nazionale dei servizi.

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.

L’operatività del sistema SPID entro l’anno è una delle priorità indicate dal Presidente del Consiglio dei Ministri.

Lo schema di decreto attuativo è stato già rilasciato dall’Unità di missione per l’Agenda Digitale ed è stato avviato l’iter di approvazione/emanazione.

Per conseguire l’obiettivo indicato dal Presidente del Consiglio dei Ministri è necessaria la più ampia e fattiva collaborazione istituzionale per definire regole, modelli e interfacce e consentire l’avvio ed il dispiegamento del sistema.

A tal fine, nella sezione documenti di questa pagina, si rende disponibile – in versione bozza – la documentazione prevista per l’attuazione di SPID.

Trattandosi di documenti ancora in corso di elaborazione, i loro contenuti sono soggetti ad ampliamenti e variazioni.

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati i quattro regolamenti previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014. Il regolamento che norma le modalità di accreditamento entra in vigore il 15 settembre 2015 data dalla quale i soggetti interessati possono presentare domanda di accreditamento all’Agenzia.

E’ stato reso disponibile il certificato contenente la chiave per crifrare la documentazione riservata da inviare all’Agenzia.

Con l’emanazione dei suddetti regolamenti il Sistema Pubblico di Identità Digitale diviene operativo.

Il produttivo confronto tra Agid e il Garante per la protezione dei dati personali, ha permesso di giungere ad una definizione condivisa delle caratteristiche e delle modalità di adozione del Sistema pubblico di identità digitale. L’Agenzia continuerà a lavorare – grazie all’integrazione delle regole tecniche con le osservazioni relative ai profili di specifica competenza del Garante – per assicurare l’adeguatezza dei regolamenti e delle soluzioni tecniche alle esigenze di sicurezza e garanzia di protezione dei dati.

Primo provvedimento di attuazione previsto dall’articolo 64, comma 2-sexies del D.lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale) è il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.