g-docweb-display Portlet

Provvedimento del 23 marzo 2023 [9880472]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9880472]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 81 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione digitale (di seguito, CAD), laddove prevede, in particolare, che:

- “l'accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID, nonché tramite la carta di identità elettronica” (art. 64, comma 2-quater, primo periodo);

- “con decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono dettate le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta di identità elettronica, del documento di identità elettronico e della carta nazionale dei servizi, nonché le modalità di impiego” (art. 66, comma 6);

VISTO l’art. 7-viciester, comma 2-bis, primo e secondo periodo, del decreto legge 31 gennaio 2005, n. 7, convertito, con modificazioni, dalla legge 31 marzo 2005, n. 43, ai sensi del quale “l'emissione della carta d'identità elettronica è riservata al Ministero dell'interno che vi provvede nel rispetto delle norme di sicurezza in materia di carte valori, di documenti di sicurezza della Repubblica e degli standard internazionali di sicurezza. Con decreto del Ministro dell'interno, di concerto con il Ministro per la semplificazione e la pubblica amministrazione ed il Ministro dell'economia e delle finanze, sentita l'Agenzia per l'Italia digitale, il Garante per la protezione dei dati personali e la Conferenza Stato-città autonomie locali, sono definite le caratteristiche tecniche, le modalità di produzione, di emissione, di rilascio della carta d'identità elettronica, nonché di tenuta del relativo archivio informatizzato”;

VISTO il decreto del Ministero dell’interno 23 dicembre 2015, recante Modalità tecniche di emissione della Carta d’identità elettronica, su cui il Garante ha espresso parere favorevole con provv. n. 656 del 17 dicembre 2015 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 4634495);

VISTO il decreto del Ministro dell’interno, del Ministro per l’innovazione tecnologica e la transizione digitale e del Ministro dell’economia e delle finanze dell’8 settembre 2022, recante Modalità di impiego della carta di identità elettronica (di seguito, decreto), su cui il Garante ha espresso parere favorevole con provv. n. 247 del 7 luglio 2022 (doc. web n. 9803398);

VISTO che il citato decreto dispone, in particolare, che:

- “il Ministero effettua una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 del regolamento (UE) 2016/679, da sottoporre alla consultazione preventiva del Garante per la protezione dei dati personali, nella quale sono individuate le misure adeguate a rispettare il regolamento e il codice per la protezione dei dati personali” (art. 4, comma 6);

- “l'accesso ai servizi in rete da parte dei minorenni è gestito dal CieID Server in modo da agevolare il controllo genitoriale finalizzato a verificare il corretto utilizzo dei servizi in rete da parte dei minorenni sotto la propria tutela. A tal fine, con apposito provvedimento, sentito il Garante per la protezione dei dati personali, il Ministero individua le funzionalità necessarie e le misure a tutela degli interessati e ne affida lo sviluppo e l'esercizio a IPZS” (art. 11);

- “al fine di monitorare e migliorare i servizi, IPZS invia periodicamente al Ministero una relazione contenente, in forma aggregata, in modo che non sia possibile identificare, anche indirettamente, l'interessato, informazioni relative agli interessati, eventualmente anche suddivisi per FdS acceduto, fascia giornaliera di accesso, tipologia di credenziali utilizzate, provincia (residenza), fascia di età e sesso. Le misure di garanzia adottate sono individuate nella valutazione d'impatto di cui all'art. 4, comma 6 in cui sono indicate le soglie minime per rispettare l'anonimato. Per i medesimi fini, tali dati potranno essere forniti in forma aggregata ai soggetti interessati su richiesta degli stessi al Ministero. Alcuni dati in forma aggregata potranno essere resi pubblici” (art. 13, comma 3);

- “il Ministero individua, in base alla criticità di ogni operazione effettuabile sul portale e nell'ambito della valutazione d'impatto di cui all'art. 4, comma 5, il livello minimo delle credenziali di autenticazione necessarie” (art. 14, comma 2);

VISTA la richiesta di parere pervenuta in data 1° febbraio 2023, come integrata e modificata in data 8 marzo 2023, con la quale il Ministero dell’interno ha sottoposto all’Autorità, ai sensi dell’art. 4 del decreto, la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento (di seguito, DPIA), concernente la creazione, l’impiego e la gestione delle credenziali dell’identità digitale CIE (di seguito, CIEId), quale strumento di accesso ai servizi erogati in rete dalle pubbliche amministrazioni e dai privati, che integra un regime di identificazione elettronica ai sensi del regolamento (UE) 910/2014 (c.d. regolamento eIDAS);

RILEVATO che la DPIA in esame, nel valutare i possibili rischi per i diritti e le libertà fondamentali degli interessati connessi ai trattamenti dei dati personali in esame e, conseguentemente, individuare le misure tecniche e organizzative volte a mitigarli, si occupa, in particolare, di:

- indicare le tipologie di dati personali oggetto di trattamento nel contesto rappresentato, precisando, per ciascuna di esse, il periodo di conservazione e le modalità di cancellazione al termine di tale periodo;

- descrivere nel dettaglio le fasi che caratterizzano il processo di trattamento dei dati personali, che comprendono quelle di “Attivazione credenziali di livello 1 (basso) e 2 (significativo)”, “Gestione dell’identità digitale”, “Sospensione delle credenziali di livello 3”, “Revoca delle credenziali”, “Certificazione del terminale mobile”, “Utilizzo delle credenziali L1 e L2”, “Blocco delle credenziali di livello basso e significativo”, “Recupero delle credenziali di livello basso e significativo”, “Registro degli accessi (log)” e “Monitoraggio ex art. 13, comma 3 del DM 8 settembre 2022”, rinviando l’esame dei “rischi connessi ai trattamenti relativi alla gestione della volontà in merito alla donazione di organi e tessuti, in quanto - seppur previsti dal DM 8 settembre 2022 - non sono attivi in questa fase”;

- stabilire che, nelle more dell’emanazione del provvedimento di cui al citato art. 11 del decreto, da adottarsi sentito il Garante, l’uso della CIEId da parte di minorenni, da 0 a 5 anni, non sia consentito mentre, da 5 a 18 anni, sia consentito esclusivamente per accedere ai servizi degli istituti scolastici di ogni ordine e grado, attribuendo al genitore il potere di “controllare il processo di attivazione delle credenziali di livello 1 e 2 per inserire il proprio indirizzo di posta elettronica sul quale riceverà una notifica ad ogni utilizzo delle credenziali di livello 1, 2 e 3 come anche nel caso in cui il minore provi a modificare tale indirizzo di posta elettronica”, fermo restando che spetta ai fornitori di servizi “stabilire se un eventuale minore possa utilizzare i propri servizi in rete”;

- individuare le misure volte ad assicurare l’esercizio dei diritti da parte degli interessati, compreso l’accesso ai dati personali mediante il Portale dell’identità del cittadino (di seguito, Portale) messo a disposizione dal Ministero;

- precisare che “non sono previsti trasferimenti di dati al di fuori dell’Unione Europea e i dati risiedono tutti nel territorio italiano”, presso i data center del Ministero dell’Interno;

CONSIDERATO che la DPIA in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali volte a rendere conformi i trattamenti ivi descritti alla normativa in materia di protezione dei dati personali, in ossequio ai principi di accountability e di privacy by design e by default (artt. 5, par. 2, 24 e 25 del Regolamento), che hanno riguardato, nello specifico:

- l’esaustiva descrizione delle attività di trattamento effettuate nell’ambito della CIEId, al fine di individuare compiutamente i connessi rischi per i diritti e le libertà delle persone fisiche;

- l’individuazione di misure volte a tutelare gli interessati nella fase di gestione dell’identità digitale CIEId, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento), prevedendo, in particolare:

l’autonoma gestione della propria identità digitale dell’utente tramite il Portale, con la possibilità di modificare e certificare i propri contatti (posta elettronica e telefonici), e di visualizzare i log relativi alla gestione della propria identità digitale e ai processi di autenticazione effettuati a prescindere dal livello di credenziali (livello 1, 2 o 3);

l’invio all’utente di un avviso ai contatti certificati (nell’ordine, indirizzo e-mail o numero di telefono cellulare) in occasione delle operazioni di modifica degli stessi o di modifica delle credenziali;

la registrazione in appositi file di log delle informazioni relative alle operazioni di attivazione e revoca nonché di gestione e utilizzo dell’identità digitale e la relativa conservazione, rispettivamente per 20 anni dalla revoca e 24 mesi dalla registrazione, su un apposito sistema di log management al fine di garantirne l’integrità, la disponibilità e la riservatezza, in analogia a quanto previsto dalla normativa applicabile allo SPID (cfr., in particolare, il d.P.C.M. 24 ottobre 2014 e la relativa disciplina attuativa);

l’individuazione di un adeguato livello di sicurezza delle credenziali necessario per fruire delle diverse funzionalità rese disponibili nel Portale;

- l’indicazione delle modalità e delle fonti di acquisizione dei dati personali oggetto di trattamento, nel rispetto dei principi di liceità, correttezza e trasparenza e di esattezza (art. 5, par. 1, lett. a) e d), del Regolamento);

- l’individuazione di misure volte ad assicurare il rispetto del principio di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a), e 12-14 del Regolamento), informando gli interessati circa gli attributi che vengono messi a disposizione dal gestore della CIEId ai fornitori di servizi a seguito del processo di autenticazione;

- il rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento) nell’ambito del monitoraggio effettuato dal Ministero sui dati relativi all’utilizzo della CIEId da parte degli utenti, assicurando la non identificabilità, neanche indiretta, degli interessati;

- l’individuazione di misure volte ad assicurare il rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento), quali quelle concernenti le regole di composizione del “codice app CIEId” e le modalità di conservazione delle password (mediante il ricorso a una funzione di derivazione di chiavi crittografiche);

- l’introduzione di un meccanismo di informazione reciproca e tempestiva tra Ministero dell’interno e fornitori di servizi/soggetti aggregatori in caso di violazioni di sicurezza o altre minacce che comportino un rischio per la sicurezza e per i diritti e le libertà degli interessati, anche al fine di agevolare l’adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento;

- l’esatta definizione del ruolo assunto nel trattamento dei dati personali in esame dall’Istituto Poligrafico e Zecca dello Stato, ai sensi dell’art. 28 del Regolamento, nonché dai fornitori di servizi e dai soggetti aggregatori, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- l’individuazione delle misure necessarie a consentire – nelle more dell’individuazione di adeguate garanzie per tutelare dei minori, anche attraverso un adeguato controllo genitoriale, nell’ambito del citato provvedimento di cui all’art. 11 del decreto – l’utilizzo di CIEId anche da parte di minori (ad esclusione di quelli nella fascia da 0 a 5 anni) per l’accesso ai servizi degli istituti scolastici di ogni ordine e grado, tenendo di quanto previsto nelle apposite linee guida adottate da AgID per SPID (Linee guida operative per la fruizione dei servizi SPID da parte dei minori, adottate con determinazione del direttore di AgID n. 51 del 3 marzo 2022), su cui il Garante ha reso il parere con provv. n. 36 del 2 febbraio 2022 (doc. web n. 9744322);

RITENUTO, su tale base, che sulla DPIA oggetto di esame, con riferimento alle misure previste in relazione ai trattamenti allo stato previsti, non vi siano rilievi da formulare per i profili di competenza;

RITENUTO, in ogni caso, di riservarsi di valutare le garanzie a tutela degli interessati che saranno individuate all’interno del provvedimento di cui all’art. 11 del decreto, sulla base dell’aggiornamento della DPIA in esame che tenga conto degli specifici rischi connessi all’utilizzo di CIEId da parte dei minori in relazione alla fruizione di servizi diversi da quelli in ambito scolastico;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, parr. 2 e 5, e 58, par. 3, lett. c), del Regolamento e del decreto del Ministro dell’interno, del Ministro per l’innovazione tecnologica e la transizione digitale e del Ministro dell’economia e delle finanze dell’8 settembre 2022, autorizza il Ministero dell’interno a effettuare i trattamenti di dati personali concernenti la creazione, l’impiego e la gestione delle credenziali dell’identità digitale CIE, oggetto della valutazione di impatto sulla protezione dei dati in esame.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei