g-docweb-display Portlet

Parere sullo schema di decreto del Ministero dell’interno, da adottarsi di concerto con il Ministro dell’economia e delle finanze e il Ministro per l’innovazione tecnologica e la transizione digitale, concernente le modalità di impiego della CIE - 7 luglio 2022 [9803398]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9803398]

Parere sullo schema di decreto del Ministero dell’interno, da adottarsi di concerto con il Ministro dell’economia e delle finanze e il Ministro per l’innovazione tecnologica e la transizione digitale, concernente le modalità di impiego della CIE - 7 luglio 2022

Registro dei provvedimenti
n. 247 del 7 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione digitale (di seguito, CAD), laddove prevede, in particolare, che:

- “L'accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID, nonché tramite la carta di identità elettronica” (art. 64, comma 2-quater, primo periodo);

- “Con decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono dettate le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta di identità elettronica, del documento di identità elettronico e della carta nazionale dei servizi, nonché le modalità di impiego” (art. 66, comma 6);

VISTO l’art. 7-viciester, comma 2-bis, primo e secondo periodo, del decreto legge 31 gennaio 2005, n. 7, convertito, con modificazioni, dalla legge 31 marzo 2005, n. 43, ai sensi del quale “L'emissione della carta d'identità elettronica è riservata al Ministero dell'interno che vi provvede nel rispetto delle norme di sicurezza in materia di carte valori, di documenti di sicurezza della Repubblica e degli standard internazionali di sicurezza. Con decreto del Ministro dell'interno, di concerto con il Ministro per la semplificazione e la pubblica amministrazione ed il Ministro dell'economia e delle finanze, sentita l'Agenzia per l'Italia digitale, il Garante per la protezione dei dati personali e la Conferenza Stato-città autonomie locali, sono definite le caratteristiche tecniche, le modalità di produzione, di emissione, di rilascio della carta d'identità elettronica, nonché di tenuta del relativo archivio informatizzato”;

VISTO il decreto del Ministero dell’interno 23 dicembre 2015 recante Modalità tecniche di emissione della Carta d’identità elettronica;

VISTA la richiesta di parere pervenuta in data 29 marzo 2022, come integrata e modificata in data 22 giugno 2022, con la quale il Ministero dell’interno ha sottoposto all’Autorità lo schema di decreto del Ministro dell’interno, di concerto con il Ministro dell’economia e delle finanze e il Ministro per l’innovazione tecnologica e la transizione digitale, concernente le modalità di impiego della carta d’identità elettronica (di seguito, CIE), con particolare riferimento alla gestione dell’identità digitale rilasciata al cittadino associata alla CIE medesima (di seguito, CIEId);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- la funzione della CIEId quale “strumento di accesso ai servizi erogati in rete dalle pubbliche amministrazioni e dai privati [(i c.d. fornitori di servizi – di seguito, FdS – nonché gli aggregatori)] che integra un regime di identificazione elettronica ai sensi del Regolamento eIDAS” (cioè, il Regolamento (UE) 910/2014) e “consente la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, […] verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale al momento del rilascio della CIE o tramite il suo utilizzo”; sono previsti “tre diversi livelli di sicurezza di autenticazione informatica per l’accesso ai servizi in rete, rispettivamente di livello 1, 2 e 3, corrispondenti ai livelli basso, significativo ed elevato del Regolamento eIDAS” (artt. 2, 3 e 4);

- l’obbligo, in capo al Ministero dell’interno, di effettuare la valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento, da sottoporre alla consultazione preventiva del Garante (art. 4, comma 6);

- le tipologie di informazioni, “oggetto di trattamento necessario da parte del gestore per l’esecuzione del compito di interesse pubblico, del richiedente la CIEId e alla stessa associate” che vengono raccolte al momento dell’attivazione delle credenziali rilasciate dal Ministero, elencandole puntualmente e, del caso, indicandone la fonte; tali dati “sono forniti al FdS che li richiede durante il processo di autenticazione con la CIEId”, il quale deve “limitare la richiesta di dati al set minimo necessario per l’erogazione di ciascun servizio” (art. 6);

- le funzioni svolte dal Ministero dell’interno, dai Comuni e dagli Uffici consolari e dall’Istituto poligrafico e Zecca dello Stato (di seguito, IPZS) (artt. 7, 8 e 9);

- le modalità di uso della CIEId per l’accesso ai servizi in rete erogati dai FdS, prevedendo che il ““CieID Server” riceve con la richiesta di autenticazione da parte del FdS l’elenco degli attributi identificativi necessari per l'accesso al servizio. Effettuata l’autenticazione, fornisce al FdS gli attributi identificativi richiesti” e individuando i casi in cui “Il Ministero dell’Interno ha facoltà di interdire ai FdS e ai soggetti aggregatori l’accesso al “CieID Server”” (art. 10);

- la possibilità per i minorenni di accedere ai servizi in rete mediante CIEId “in modo da agevolare il controllo genitoriale finalizzato a verificare il corretto utilizzo dei servizi in rete da parte dei minorenni sotto la propria tutela”, rinviando a un apposito provvedimento, sentito il Garante, l’individuazione delle “funzionalità necessarie” e delle “misure a tutela degli interessati” e affidandone lo sviluppo e l’esercizio all’IPZS (art. 11);

- le modalità d’integrazione con l’Anagrafe nazionale della popolazione residente (di seguito, ANPR), al fine sia di “ricevere giornalmente i dati afferenti ai soggetti deceduti e procedere al blocco tempestivo della CIEId”, che di “assicurare l’aggiornamento delle informazioni relative alla residenza anagrafica, all’identificativo univoco del cittadino (IdANPR) e al domicilio digitale del cittadino ove presente” (art. 12);

- la tenuta, presso il Ministero, di un registro degli accessi effettuati mediante CIEId, “Al fine di consentire ai cittadini di avere evidenza dell’uso della propria CIEId, di tutelarli dall’uso illecito da parte di terzi della propria identità digitale”, ove sono conservate “le registrazioni degli accessi relativi all’utilizzo della CIEId negli ultimi 24 mesi e, per il medesimo periodo, le evidenze in merito alla gestione della CIEId da parte del cittadino, attraverso il portale dell’identità del cittadino”; l’estrazione di tali dati è altresì consentita “su richiesta della autorità giudiziaria, delle autorità vigilanti e dei titolari della CIEId, tramite personale espressamente incaricato appositamente dotato di credenziali di accesso personali. L’accesso a tali informazioni è registrato in appositi log”; “Il Poligrafico predispone un processo di conservazione dei log atto a garantire l’integrità, la disponibilità e la protezione delle informazioni conservate” (art. 13, commi 1, 2 e 8);

- l’invio periodico da parte dell’IPZS al Ministero di una relazione redatta con dati in forma aggregata, rinviando alla relativa valutazione d’impatto l’individuazione delle misure di garanzia in proposito (art. 13, comma 3);

- la tenuta, presso i FdS, di un registro degli accessi mediante CIEId avvenuti negli ultimi 24 mesi, prevedendo che il Ministero, “Nel caso in cui […] sia fornitore di servizi in rete, mantiene separati i registri di tracciatura delle transazioni così come le banche dati relative alla gestione delle identità digitali” (art. 13, commi 4 e 7);

- la conservazione dei registri degli accessi presso il Ministero e i FdS “nel rispetto della normativa vigente in materia di protezione dei dati personali”, stabilendo che “l’accesso ai dati personali tracciati è consentito esclusivamente a personale espressamente incaricato per le finalità sopra elencate. Gli accessi sono rilevati, collocati temporalmente e salvati al fine di consentire di accertare quando e quali soggetti hanno acceduto alla specifica informazione e la causale dell’accesso” (art. 13, commi 5 e 6);

- la creazione del “Portale dell’identità del cittadino”, ove quest’ultimo può, tra le altre cose, gestire i propri dati personali ed essere informato sui processi di autenticazione informatica che lo riguardano (art. 14);

- la presenza, all’interno della CIE, di un “Numero Identificativo Servizi (NIS)”, ossia di un “numero casuale e univoco di 16 cifre associato ad ogni carta di identità elettronica, leggibile liberamente dal chip”; le modalità e i requisiti di accesso al sistema di gestione del NIS saranno disciplinati con separato atto dal Ministero, sentito il Garante (art. 17);

- i compiti di monitoraggio del Ministero e gli obblighi di notifica delle violazioni dei dati personali al Garante (art. 18);

- l’attribuzione al cittadino maggiorenne, “Fermo restando quanto previsto dal decreto del 23 dicembre 2015 recante “Modalità tecniche di emissione della Carta d’identità elettronica” pubblicato in G.U. n. 302 del 30 dicembre 2015 e successive modificazioni”, della “facoltà di indicare il proprio consenso, ovvero diniego, alla donazione di organi e tessuti in caso di morte anche attraverso il portale dell’identità del cittadino reso disponibile dal Ministero dell’Interno che, in tal caso, provvede all’invio del dato relativo alla donazione di organi e tessuti al SIT nel rispetto delle disposizioni del decreto del Ministero della salute, di cui alla legge 24 dicembre 2012, n.228, articolo 1, comma 340, senza conservarlo”. Inoltre, “La funzionalità che consente l’espressione o la modifica della propria volontà in merito alla donazione di organi e tessuti è disponibile esclusivamente previo accesso sul portale con credenziali di livello 3”, mentre “La visualizzazione della propria volontà, previa autenticazione con credenziali di livello 2 o 3”. È previsto che tale dato sia “criptato in modo da essere accessibile solo al SIT per l’aggiornamento della banca dati dei donatori”, e che “Nei log del portale dell’identità del cittadino non [venga] registrata la scelta del cittadino, ma solamente l’utilizzo delle funzionalità di visualizzazione, cancellazione e modifica della volontà” (art. 19);

- i ruoli assunti nei trattamenti dai soggetti a vario titolo coinvolti (Ministero dell’interno, Comuni, Ministero degli affari esteri e della cooperazione internazionale, Centro nazionale trapianti – CNT e IPZS) (art. 20);

CONSIDERATO che la versione dello schema di decreto in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso dell’attività istruttoria svolta al fine di rendere conforme i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, che hanno riguardato, nello specifico:

- l’individuazione dei dati personali oggetto di raccolta al momento dell’attivazione delle credenziali, nonché la fonte di provenienza e la previsione di flussi, verso i FdS e nel processo di autenticazione informatica, che limitino la richiesta di dati al set minimo necessario per l’erogazione di ciascun servizio in rete (artt. 6 e 10, comma 4, dello schema), nel rispetto dei principi di correttezza e trasparenza, di minimizzazione dei dati e di privacy by design e by default di cui agli artt. 5, par. 1, lett. a) e c), e 25 del Regolamento;

- l’individuazione dei casi per i quali il Ministero dell’interno ha facoltà di interdire ai FdS e ai soggetti aggregatori l’accesso al sistema informatico utilizzato (il CieID Server) (art. 10, comma 3, dello schema), nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità e di integrità e riservatezza di cui all’art. 5, par. 1, lett. a), b) e f), del Regolamento;

- l’individuazione delle finalità per le quali viene assicurata l’integrazione con l’ANPR, nel rispetto dei principi di limitazione della finalità, di esattezza e di privacy by design e by default di cui agli artt. 5, par. 1, lett. b) e d), e 25 del Regolamento;

- la definizione delle misure a garanzia della gestione, conservazione, limitazione della finalità e accessibilità dei registri degli accessi (art. 13 dello schema), anche in analogia con la disciplina vigente prevista per SPID, nel rispetto dei principi e degli obblighi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di integrità e riservatezza, di accountability e di privacy by design e by default di cui all’art. 5, parr. 1, lett. a), b), c) e f), e 2, e agli artt. 25 e 32 del Regolamento;

- l’invio al Ministero da parte dell’IPZS, per finalità di monitoraggio e miglioramento dei servizi, di informazioni in forma aggregata, in modo che non sia possibile identificare, anche indirettamente, l’interessato, nel rispetto dei principi di minimizzazione dei dati e di privacy by design e by default di cui agli artt. 5, par. 1, lett. c), e 25 del Regolamento;

- la previsione di compiti di monitoraggio in capo al Ministero dell’interno nonché degli obblighi di notifica al Garante delle violazioni dei dati personali, indipendentemente dal rischio che le stesse presentano per i diritti e le libertà delle persone fisiche (art. 18 dello schema), in analogia con la disciplina vigente prevista per SPID, nel rispetto dei principi e degli obblighi di liceità, correttezza e trasparenza e di integrità e riservatezza di cui agli artt. 5, par. 1, lett. a) e f), 32, 33 e 34 del Regolamento;

- la puntuale definizione dei ruoli e dei compiti di tutti i soggetti a vario titolo coinvolti nei trattamenti (art. 20 dello schema), nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità di cui all’art. 5, par. 1, lett. a) e b), del Regolamento, nonché di quanto stabilito dagli artt. 24 e 28 del Regolamento medesimo;

- l’effettuazione della valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento, da parte del Ministero, quale titolare del trattamento (art. 4, comma 6, dello schema), anche con specifico riferimento ai profili relativi a: le credenziali di autenticazione informatica dei diversi livelli di sicurezza associate alla CIEId (art. 4, commi da 1 a 5, dello schema); la relazione che l’IPZS fornisce al Ministero, in modo da assicurare l’anonimizzazione dei dati in essa contenuti (art. 13, comma 3, dello schema); le funzionalità rese disponibili nell’ambito del portale dell’identità del cittadino (art. 14, comma 2, dello schema);

CONSIDERATO inoltre, che, in merito al trattamento dell’IdANPR riferito a ciascun cittadino – che, ai fini del presente decreto, viene associato alla CIEId in fase di attivazione delle credenziali di autenticazione informatica (art. 6, comma 1, lett. h), dello schema) – l’Autorità si riserva di effettuare specifiche valutazioni all’esito dell’esame degli schemi di provvedimenti attuativi dell’art. 62, comma 6-bis, del CAD in ordine alle modalità di attribuzione, da parte dell’ANPR, di un codice identificativo univoco (il c.d. IdANPR) per garantire la circolarità dei dati anagrafici e l'interoperabilità con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici di cui all'art. 2, comma 2, lett. a) e b), del CAD medesimo;

CONSIDERATO, ancora, che i servizi messi a disposizione dal Ministero per l’utilizzo del NIS (art. 17 dello schema) – in relazione ai quali le modalità e i requisiti di accesso saranno disciplinati da un separato atto del Ministero dell’interno, sentito il Garante, al fine di individuare le misure tecniche e organizzative adeguate a mitigare i rischi per i diritti e le libertà fondamentali degli interessati – potranno essere attivati solamente in presenza di apposita e idonea base giuridica che ne funga da presupposto e ne determini le finalità, le tipologie di dati personali oggetto di trattamento e le operazioni eseguibili ai sensi dell’art. 6, parr. 1, lett. e), e 3, del Regolamento, nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità e di minimizzazione dei dati di cui all’art. 5, par. 1, lett. a), b) e c), del Regolamento medesimo;

CONSIDERATO, infine, che, con riferimento all’introduzione della facoltà, per il cittadino maggiorenne, di conferire o negare il consenso alla donazione di organi e tessuti in caso di morte anche attraverso il portale dell’identità del cittadino (art. 19 dello schema), lo schema di decreto in esame individua misure volte ad assicurare un adeguato livello di sicurezza, mitigando i rischi connessi a trattamenti illeciti di informazioni appartenenti alle categorie particolari di dati personali di cui all’art. 9 del Regolamento (come quelli di sostituzione di persona nell’esercizio di azioni dispositive), nel rispetto del principio di integrità e riservatezza e degli obblighi in materia di sicurezza del trattamento di cui agli artt. 5, par. 1, lett. f), e 32 del medesimo Regolamento;

RITENUTO, a questo proposito, che il trattamento dei dati personali relativi alla manifestazione della volontà, o della sua modifica, attraverso il portale dell’identità del cittadino, circa la donazione di organi e tessuti in caso di morte come disciplinato dall’art. 19 dello schema, quale modalità di impiego della CIE ai sensi dell’art. 66, comma 6, del CAD, possa essere effettuato, con le modalità ivi definite, a condizione che, prima dell’avvio del trattamento in questione, il Ministero dell’interno acquisisca apposita conferma dal Ministero della salute, al fine di assicurare il pieno coordinamento con la specifica normativa in materia di prelievi e di trapianti di organi e di tessuti (a questo proposito, cfr., spec., la legge 1° aprile 1999, n. 91, recante Disposizioni in materia di prelievi e di trapianti di organi e di tessuti, nonché il decreto del Ministro della sanità 8 aprile 2000, recante Disposizioni in materia di prelievi e di trapianti di organi e di tessuti, attuativo delle prescrizioni relative alla dichiarazione di volontà dei cittadini sulla donazione di organi a scopo di trapianto, come modificato dal decreto del Ministro della salute 11 marzo 2008, e il decreto del Ministero della salute 20 agosto 2019, n. 130, recante Disciplina degli obiettivi, delle funzioni e della struttura del Sistema informativo trapianti (SIT) e del Registro nazionale dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo) e, conseguentemente, ne dia comunicazione all’Autorità;

RITENUTO, infine, che, posto quanto detto sopra, sullo schema di decreto in esame non ci sono ulteriori rilievi da formulare sul piano del rispetto della disciplina in materia di protezione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, sullo schema di decreto del Ministero dell’interno, da adottarsi di concerto con il Ministro dell’economia e delle finanze e il Ministro per l’innovazione tecnologica e la transizione digitale, concernente le modalità di impiego della CIE, ai sensi dell’art. 66, comma 6, del CAD, a condizione che, prima dell’avvio del trattamento dei dati personali relativi alla manifestazione della volontà, o della sua modifica, attraverso il portale dell’identità del cittadino, circa la donazione di organi e tessuti in caso di morte, come disciplinato dall’art. 19 dello schema, il Ministero dell’interno acquisisca apposita conferma dal Ministero della salute al fine di assicurare il pieno coordinamento con la specifica normativa in materia di prelievi e di trapianti di organi e di tessuti e, conseguentemente, ne dia comunicazione all’Autorità.

Roma, 7 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9803398
Data
07/07/22

Argomenti


Tipologie

Parere del Garante

Vedi anche (10)