Articolo pubblicato su diritto.it
Il Garante per la protezione dei dati personali ha individuato le garanzie per l’utilizzo del Sistema pubblico di identità digitale (SPID) da parte dei minori. I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.
La procedura per il rilascio dell’identità Spid.
Lo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori” dell’Agenzia per l’Italia digitale, prevede i seguenti passaggi (cap. 4):
- il genitore, accedendo con le proprie credenziali SPID di livello 2 a un servizio appositamente messo a disposizione dagli identity provider (di seguito, “IdP”) “inserisce i seguenti dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, C.F., data nascita” e dichiara, ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, “la propria qualità di esercente la responsabilità genitoriale sul minore”, nonché “di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore”;
- l’IdP genera due codici: un “codice del genitore”, “composto dal risultato della funzione CRC-32 applicato al codice fiscale del Genitore”, e un “codice di verifica”, “assegnato al minore (univoco nell’ambito di ogni IdP), associando al codice del genitore un codice casuale di tre numeri in notazione decimale (seriale minore)” e successivamente comunicato al genitore;
- il genitore comunica il codice di verifica al minore, che lo inserisce all’interno dell’apposito servizio reso disponibile dall’IdP;
- l’IdP, previa verifica della presenza dell’autorizzazione del genitore al rilascio di SPID, “identifica il minore, verificando la corrispondenza della sua identità con i dati precedentemente forniti dal Genitore nonché il nome di questi sul documento di identità del minore (o mediante verifiche alternative). Qualora l’identificazione del minore intervenga de visu (in presenza o con modalità informatica), il minore infraquattordicenne deve essere affiancato dal Genitore”;
- l’IdP rilascia l’identità digitale al minore e invia una notifica al genitore.
Vengono quindi individuate due distinte procedure per la fruizione dei servizi in rete da parte dei minori mediante SPID (cap. 5):
- una “Procedura A”, che “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, non deve richiedere al Genitore né l’autorizzazione all’accesso al servizio da parte del minore né, conseguentemente, il consenso al trattamento dei dati personali del minore con riferimento ai servizi di prevenzione o di consulenza forniti direttamente a quest’ultimo” (par. 5.1), prevedendo, laddove applicabile ai sensi dell’art. 6, par. 1, lett. a), del Regolamento, la raccolta del consenso del minore, da parte dell’IdP, per il trattamento connesso alla fruizione dei servizi offerti dal SP;
- una “Procedura B”, che, invece, “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, deve richiedere al Genitore l’autorizzazione all’accesso al servizio da parte del minore” (par. 5.2), distinta tra ultraquattordicenni (con la raccolta del consenso del minore, da parte dell’IdP, ai sensi dell’art. 6, par. 1, lett. a), del Regolamento laddove applicabile, par. 5.2.2) e infraquattordicenni (prevedendo, invece, laddove applicabile, la raccolta del consenso del genitore, sempre da parte dell’IdP, par. 5.2.1).
L’autorizzazione, da parte del genitore, all’accesso del minore al servizio da quest’ultimo richiesto deve avvenire “entro 24 ore dalla richiesta”, mentre, “se, in occasione di un precedente accesso, il Genitore ha già fornito l’autorizzazione, l’IdP autentica nuovamente il minore senza chiedere una nuova autorizzazione”. Viene, inoltre, previsto che il genitore possa “autorizzare l’accesso del minore al servizio indicando all’IdP la durata di tale autorizzazione. Ogni autorizzazione decade al momento del decadere dell’identità digitale del Genitore”. In caso di modifica delle “finalità del trattamento dei dati personali e/o [delle] condizioni di erogazione dei servizi”, occorre ripetere le procedure A e B sopra descritte (par. 6.1).
L’IdP deve, poi, fornire al genitore un servizio per la gestione dell’identità digitale dei minori e delle autorizzazioni all’accesso ai servizi, con possibilità di sospensione o revoca. Tale servizio deve essere limitato “esclusivamente alle informazioni necessarie all’espletamento di tali attività, garantendo la riservatezza del minore con riferimento a ulteriori informazioni di utilizzo della propria identità digitale”. In caso di minore ultraquattordicenne, l’IdP deve fornire anche a quest’ultimo “un servizio, accessibile mediante credenziali SPID almeno di livello 2, che consenta: la gestione, in autonomia, della propria identità digitale e che preveda almeno la possibilità di sospensione di tale identità; la consultazione, in autonomia, degli accessi effettuati presso i SP” (par. 6.2).
Osservazioni del Garante
I trattamenti sottesi al rilascio di SPID e al suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.
L’Autorità ha chiesto ad AgID di modificare lo schema introducendo garanzie aggiuntive, con particolare riferimento alla procedura di rilascio dell’identità SPID da parte degli identity provider che richiede un’accurata verifica dell’identità del genitore e del minore e l’individuazione delle informazioni da raccogliere e conservare, nel rispetto del principio di minimizzazione. Anche i service provider dovranno impegnarsi a valutare quali siano i servizi da offrire direttamente ai minori e le garanzie da assicurare in ragione delle caratteristiche degli stessi.
L’utilizzo di SPID per gli infraquattordicenni, ammissibile unicamente per i servizi online offerti dalle scuole (come, ad esempio, il registro elettronico), dovrà avvenire per un periodo sperimentale, fino al 30 giugno 2023, garantendo comunque l’accesso a tali servizi senza SPID con le modalità eventualmente già in uso. Al termine della sperimentazione, che coinvolgerà anche il Ministero dell’istruzione, dovrà essere valutata l’adeguatezza delle misure adottate.
Inoltre, l’informativa rivolta ai minori dovrà avere un linguaggio semplice e chiaro; al compimento della maggiore età, l’interessato dovrà espressamente scegliere se mantenere o revocare la propria identità digitale, anche con modalità diverse da SPID.
L’AgID dovrà trasmettere al Garante Privacy una relazione sull’utilizzo di SPID per i minori, indicando i servizi offerti, il numero di identità rilasciate, le eventuali criticità rilevate e le misure individuate per porvi rimedio.