Spid, fare in fretta. Ma attenzione a privacy e sicurezza

PUBBLICA AMMINISTRAZIONE

I gestori pubblici e privati dovranno rimanere al riparo dai profili di responsabilità civile. Ma il sistema pare non tenere in debita considerazione questo aspetto. L'analisi dell'avvocato Michele Gorga

di Michele Gorga, avvocato
gorga

Si moltiplicano gli annunci su Spid che dovrebbe essere operativo nei prossimi mesi, ma già via Twitter al presidente del Consiglio Dei Ministri su #SPID facciamolo in fretta, si moltiplicano gli appelli “facciamolo bene e nel rispetto della Privacy”.

La velocità, infatti, a volte male si concilia con il fare le cose per bene e nel rispetto della normativa, nella fattispecie quella sulla privacy e sulla sicurezza che dovrebbe tenere gli operatori pubblici e privati al riparo dai profili di responsabilità civile che il sistema non pare tenere in debita considerazione. Infatti, i gestori delle Identità Digitali sono obbligati a fornire agli utenti servizi nel rispetto dei Principi sull’erogazione dei servizi pubblici, ai sensi della direttiva del Pcm del 27 gennaio 1994, e nelle loro attività di registrazione potrebbero anche avvalersi, in vista della complessità ed estensione nazionale dell’attività, di soggetti esterni, quali singoli professionisti o imprese. Laddove dovessero ricorrere a detti soggetti, potranno farlo solo nel rispetto dell’art. 29 del d. lgs 30 giugno 2003, n. 196 - in tema di capacità del responsabile del trattamento designato - mentre l’accordo che regolerà il rapporto tra gestore e soggetto esterno incaricato, dovrà essere preventivamente approvato dall’Agenzia per l’Italia Digitale la quale dovrà anche verificarne l’adeguatezza riguardo al trattamento dei dati e delle procedure, e sulla formazione del personale impiegato.  

Sempre in capo ai gestori è la sicurezza tecnica e crittografica e del procedimento che dovrà essere rispettoso della normativa europea e internazionale. Altro aspetto molto critico è l’adeguamento dei sistemi in seguito agli aggiornamenti della normazione tecnica nonché delle misure volte a prevenire contraffazioni o violazioni all'integrità  e  alla  sicurezza  del procedimento dell’ attività di generazione delle credenziali di accesso, sicurezza  che potrebbe essere facilmente assicurata attraverso il sistema degli Msm, o di un messaggio di posta elettronica all’indirizzo mail registrato, ad ogni utilizzo di uno dei servizi effettuato tramite l’ID, cosi come avviene già per le carte prepagate per ogni ricarica o transazione che viene eseguita. La problematica, infatti, è quella di poter  rilevare e prevenire gli  usi impropri o i tentativi  di  violazione o le  intrusione, o in caso di  duplicazione o clonazione delle  credenziali,  di  accesso dell'identità  digitale. La   comunicazione all’utente di ogni accesso parrebbe essere la strada più semplice e immediata per far scoprire al titolare  l’intrusione e, quindi, fare richiedere la  sospensione dell'identità digitale.

L’informazione all’utente è una delle attività che i gestori, quindi, dovranno garantire alle quali si aggiungeranno quelle riguardanti i servizi erogati; in particolare alle condizioni economiche e tecniche per l'erogazione dei servizi anche tramite l'attivazione di linee di comunicazione telefoniche e telematiche, oltre ad adeguate informazioni circa le norme giuridiche e tecniche di espletamento dei servizi a essi forniti.

Sotto il profilo della tutela giurisdizionale, poi, in capo ai gestori verte l’obbligo d’informativa, ai soggetti titolari delle ID, in merito alle decisioni e ai reclami e dovrà  essere loro assicurata una procedura preventiva di conciliazione al fine di prevenire il contenzioso. Tale procedura di Adr dovrà essere rimessa a organismi terzi, o a singoli professionisti in materia di Adr civile e commerciale, indipendenti sia dai soggetti erogatori dell’ID che dai Server Providers. Il tutto si spera attraverso un procedimento snello e semplice sulla falsariga delle ODR, che in caso d’insuccesso consente, senza altre condizioni di procedibilità, direttamente l’accesso alla tutela giurisdizionale.  

Anche con riferimento al trattamento dei dati personali dovranno poi essere fornite informazioni sull’ambito di utilizzo delle identità digitali Spid e si pone l’occasione per superare la vetusta “funzione” del soggetto responsabile del trattamento e passare al “profilo professionale” dell’esperto nel trattamento dei dati personali.

©RIPRODUZIONE RISERVATA 04 Gennaio 2016

TAG: Spid, PA, Twitter, Privacy, sicurezza, Identità digitale, Agid, Agenzia per l'Italia digitale

SCARICA L'APP PER IL TUO
SMARTPHONE O TABLET
App Store App Store