Garante della privacy: SPID anche per i minori con prudenza e garanzie

Diritto

Garante della privacy: SPID anche per i minori con prudenza e garanzie

C’è il via libera del Garante per la protezione dei dati personali allo schema di linee guida di Agid sul rilascio e utilizzo di Spid anche ai minorenni.
Secondo lo schema del provvedimento di Agid, si potrà ottenere Spid al compimento di 14 anni di età per accedere ai servizi offerti dalla Pubblica Amministrazione; chi invece ha meno di 14 anni potrà utilizzare l’identità digitale esclusivamente per accedere e fruire dei servizi online forniti dalle scuole, come il registro elettronico.

Fino al 30 giugno 2023, Spid per i minori di 14 anni sarà utilizzato in via sperimentale.

I minori (infraquattordicenni e ultraquattordicenni) però non potranno richiedere lo SPID autonomamente. A fare istanza per loro conto, infatti, saranno i genitori o comunque chi esercita la responsabilità genitoriale sugli stessi.

Agid ha sottoposto lo schema di provvedimento, contenente le linee guida operative per la fruizione dei servizi SPID da parte dei minori”, al parere del Garante per la protezione dei dati personali con una prima nota nell’agosto 2021; il provvedimento, modificato rispetto alle precedenti versioni, è stato poi ritrasmesso all’Autorità garante l’11 gennaio 2022, corredato del parere del responsabile della protezione dei dati, precisando che la relativa valutazione di impatto è in fase di aggiornamento rispetto a quella trasmessa nell’agosto 2021.

Il Garante privacy ha espresso parere favorevole al nuovo provvedimento di Agid, sebbene abbia richiesto l’adozione di garanzie ulteriori con particolare riferimento allo Spid per i ragazzi che hanno compiuto 14 anni.

Spid per i minori. Chi potrà richiederlo e come

Secondo quanto stabilito dallo schema di linee guida di Agid, che indica “le modalità di rilascio dell’identità digitale al minore [e] le modalità di fruizione dei servizi online mediante tale identità”, la richiesta di Spid per il minore dovrà essere formulata da parte di chi esercita la responsabilità genitoriale.
Ottenuto Spid, il minore potrà utilizzare autonomamente la propria identità digitale per accedere ai servizi online, ferma restando la possibilità di autorizzazione e verifica da parte dell’esercente la responsabilità genitoriale.
Il provvedimento di Agid sottolinea poi le responsabilità dei fornitori di servizi (di seguito, “SP”), i quali sono tenuti ad “effettuare un’autonoma, motivata e dimostrabile valutazione in merito alla necessità di: a) conoscere la minore età dell’utente; b) ottenere la certezza della sua identità per le finalità del Servizio”, nonché ad “individuare, sulla base della normativa vigente nonché della tipologia e della finalità del servizio erogato in rete, i casi in cui, avendo ritenuto necessaria l’identificazione del minore per l’accesso al servizio, [non devono] chiedere all’esercente la responsabilità genitoriale l’autorizzazione all’accesso del minore al servizio, al fine di garantire e tutelare la riservatezza del minore con particolare riferimento ai servizi di prevenzione o consulenza diretta”.

La procedura di rilascio di SPID ai minori prevede, in particolare, i seguenti passaggi:

il genitore, accede con le proprie credenziali SPID di livello 2 ad un servizio appositamente messo a disposizione dagli identity provider (di seguito, “IdP”) “inserisce i seguenti dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, C.F., data nascita” e dichiara, ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, “la propria qualità di esercente la responsabilità genitoriale sul minore”, nonché “di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore”;
l’IdP genera due codici: un “codice del genitore”, “composto dal risultato della funzione CRC-32 applicato al codice fiscale del Genitore”, e un “codice di verifica”, “assegnato al minore (univoco nell’ambito di ogni IdP), associando al codice del genitore un codice casuale di tre numeri in notazione decimale (seriale minore)” e successivamente comunicato al genitore;
il genitore comunica il codice di verifica al minore, che lo inserisce all’interno dell’apposito servizio reso disponibile dall’IdP;
l’IdP, previa verifica della presenza dell’autorizzazione del genitore al rilascio di SPID, “identifica il minore, verificando la corrispondenza della sua identità con i dati precedentemente forniti dal Genitore nonché il nome di questi sul documento di identità del minore (o mediante verifiche alternative). il minore infraquattordicenne DEVE essere affiancato dal Genitore”, nel caso di identificazione in presenza o con modalità informatica;
l’IdP rilascia l’identità digitale al minore e invia una notifica al genitore.

Vengono quindi individuate due distinte procedure per la fruizione dei servizi in rete da parte dei minori mediante SPID:

una “Procedura A”, che “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, non deve richiedere al Genitore né l’autorizzazione all’accesso al servizio da parte del minore né, conseguentemente, il consenso al trattamento dei dati personali del minore con riferimento ai servizi di prevenzione o di consulenza forniti direttamente a quest’ultimo” (par. 5.1), prevedendo, laddove applicabile ai sensi dell’art. 6, par. 1, lett. a), del Regolamento, la raccolta del consenso del minore, da parte dell’IdP, per il trattamento connesso alla fruizione dei servizi offerti dal SP;
una “Procedura B”, che, invece, “si applica nei casi in cui il SP, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, deve richiedere al Genitore l’autorizzazione all’accesso al servizio da parte del minore” (par. 5.2), differenziata tra ultraquattordicenni (con la raccolta del consenso del minore, da parte dell’IdP, ai sensi dell’art. 6, par. 1, lett. a), del Regolamento laddove applicabile, par. 5.2.2) e infraquattordicenni (prevedendo, invece, laddove applicabile, la raccolta del consenso del genitore, sempre da parte dell’IdP, par. 5.2.1).

L’autorizzazione, da parte del genitore, all’accesso del minore al servizio da quest’ultimo richiesto deve avvenire “entro 24 ore dalla richiesta”, mentre, “se, in occasione di un precedente accesso, il Genitore ha già fornito l’autorizzazione, l’IdP autentica nuovamente il minore senza chiedere una nuova autorizzazione”. Si prevede inoltre che il genitore possa “autorizzare l’accesso del minore al servizio indicando all’IdP la durata di tale autorizzazione. Ogni autorizzazione decade al momento del decadere dell’identità digitale del Genitore”.
In caso di modifica delle “finalità del trattamento dei dati personali e/o [delle] condizioni di erogazione dei servizi”, occorre ripetere le procedure A e B sopra descritte (par. 6.1).

L’IdP deve, poi, fornire al genitore un servizio per la gestione dell’identità digitale dei minori e delle autorizzazioni all’accesso ai servizi, con possibilità di sospensione o revoca. Tale servizio deve essere limitato “esclusivamente alle informazioni necessarie all’espletamento di tali attività, garantendo la riservatezza del minore con riferimento a ulteriori informazioni di utilizzo della propria identità digitale”. In caso di minore ultraquattordicenne, l’IdP deve fornire anche a quest’ultimo “un servizio, accessibile mediante credenziali SPID almeno di livello 2, che consenta di gestire autonomamente la propria identità digitale e preveda almeno la possibilità di sospensione di tale identità; la consultazione, in autonomia, degli accessi effettuati presso i SP” (par. 6.2).
I log di ogni autorizzazione devono essere conservati dagli IdP “per un tempo pari a 24 mesi” e devono contenere “unicamente le informazioni di cui alla notifica con la relativa indicazione temporale nonché la risposta del Genitore con la relativa indicazione temporale” (par. 6.3).
Sono state precisate, inoltre, alcune misure finalizzate ad “impedire l’accesso ad un servizio della società dell’informazione non destinato ai minori o non conforme all’età prevista, evitando che il SP riceva i dati personali del minore”, prevedendo il ricorso a “estensioni SAML” (par. 7.1), nonché la visualizzazione di appositi messaggi all’utente nel caso “in cui il minore non sia stato autorizzato all’accesso al servizio richiesto” e “in cui l’età del soggetto non coincida con la richiesta pervenuta dal SP” (par. 7.2).

In relazione alla revoca, al cap. 8, lo schema prevede che, al sopraggiungere della maggiore età, l’IdP invii un messaggio al neo maggiorenne, mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale. Nel caso in cui il neo maggiorenne non chieda la revoca, l’identità digitale resta attiva, ma è previsto che l’IdP elimini “i legami con l’identità digitale del genitore”, rimuova “le limitazioni precedentemente imposte dalla minore età” e cancelli “tutte le informazioni relative all’utilizzo dell’identità digitale del minore rese disponibili al genitore, fatta eccezione per i log” (cap. 8).

Infine, lo schema, precisa che, “prima di erogare un servizio ai minori mediante SPID, i fornitori di servizi devono effettuare un’autonoma, motivata e dimostrabile valutazione in merito alla necessità di: a) conoscere la minore età dell’utente; b) ottenere la certezza della sua identità per le finalità del Servizio” (cap. 2).

Le considerazioni del Garante su Spid ai minorenni

Il Garante, a fronte dei rischi connessi a tale trattamento di dati personali, al fine di assicurare il rispetto dei diritti e delle libertà dei minori infraquattordicenni, tenuto conto del livello di maturità e consapevolezza degli stessi, nel rispetto dei principi di proporzionalità, liceità e minimizzazione dei dati e privacy by design e by default, ha ritenuto di escludere i minori infraquattordicenni dall’applicazione delle linee guida in esame e di limitare per essi l’impiego dell’identità digitale esclusivamente al mondo della scuola, introducendo, per un periodo sperimentale, fino al 30 giugno 2023, l’utilizzo di SPID per i minori infraquattordicenni esclusivamente per accedere, in autonomia, ai servizi online forniti dalle scuole (a titolo esemplificativo, il registro elettronico) con, in ogni caso, l’esclusione del rilascio di Spid per la fascia d’età 0-4 anni e avendo cura di non discriminare gli studenti che non siano ancora in possesso di Spid, eventualmente anche consentendo loro l’utilizzo delle credenziali già in uso.

In tale periodo sperimentale, scrive il Garante, l’AgID e il Ministero dell’istruzione sono tenuti a vigilare affinchè l’utilizzo dell’Identità Digitale avvenga in conformità alle linee guida. Mentre, Agid, entro il 30 aprile 2023, dovrà inoltrare al Garante una relazione che indichi i servizi offerti dalle scuole che si avvalgono di tale strumento SPID, il numero di identità rilasciate distinte per ciascun IdP, le eventuali criticità rilevate e le misure individuate per rimediare alle stesse.
Per quanto invece riguarda i ragazzi che hanno compiuto 14 anni, il Garante ha ritenuto che debbano essere prese in considerazione da parte dei fornitori delle Identità Digitali misure e accorgimenti aggiuntivi a garanzia della tutela dei minori nel caso in cui si intendano fornire loro servizi accessibili direttamente.

Secondo il Garante, inoltre, anche la modalità di rilascio dell’Identità Digitale dovrebbe essere rivista, in quanto non sufficientemente chiara rispetto agli adempimenti che gli IdP devono mettere a punto per identificare i minori, anche con riferimento agli obblighi e alle responsabilità individuate dal “Regolamento recante le modalità attuative per la realizzazione dello SPID”.
E quindi, il Garante chiede che vengano adottate misure tali da consentire il raggiungimento di un più alto livello di certezza nella verifica del soggetto che esercita la responsabilità genitoriale; ciò, anche in ragione di altre figure che, in assenza dei genitori, dovrebbero essere abilitate, ai sensi dello schema in esame, a richiedere la predetta identità per il minore (ad es., il tutore);

Per quanto invece riguarda l’identificazione del minore, il Garante chiede che siano precisate nelle linee guida:

le modalità con le quali viene effettuata l’identificazione del minore, nel rispetto di quanto previsto dal “Regolamento recante le modalità attuative per la realizzazione dello SPID” (spec. artt. 7, 8 e 9), non essendo chiare quali siano le “verifiche alternative” cui si fa riferimento;
la fase e le modalità di acquisizione e conservazione del documento di identità del minore, che non viene individuato tra la documentazione che gli IdP devono necessariamente acquisire ai fini del rilascio di SPID ai fini della verifica dell’identità dichiarata dal minore con i dati precedentemente forniti dal genitore, in conformità a quanto previsto dagli artt. 12 e 13 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”;
gli attributi secondari del minore da fornire obbligatoriamente o in via facoltativa.

In merito all’informativa da rendere agli interessati, essa deve essere predisposta utilizzando un linguaggio semplice e chiaro che un minore possa facilmente comprendere.
Osservazioni sono rivolte anche alla fase in cui il minore raggiunge la maggiore età. Su tale punto, il Garante raccomanda di adottare procedure tali da consentire all’interessato di esprimere la scelta di mantenere o revocare la propria identità digitale attraverso il servizio messo a disposizione, nel rispetto del principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, considerando che non vi sarà più la necessità dell’intervento del genitore; in assenza di una manifestazione di volontà dell’interessato entro un adeguato termine, l’identità dovrebbe essere sospesa e, in seguito, revocata.

Devono, inoltre, puntualizza il Garante, essere previste modalità di revoca dell’identità, alternative rispetto a quella indicata dallo schema che prevede l’utilizzo esclusivo di SPID, rispettando così gli artt. 12 e ss. del Regolamento e precisare quali dati l’IdP dovrebbe cancellare quando il minore compie 18 anni e quali, invece, non devono essere più resi disponibili al genitore.

Il Garante chiede poi che vengano eliminati dallo schema i riferimenti alla raccolta dell’autorizzazione e del consenso da parte degli IdP per i trattamenti effettuati dai SP; che sia precisato che la procedura di autenticazione avviata con l’identità SPID di un minore non abilitato ad accedere a taluni servizi, sia bloccata con esito negativo e siano individuate le corrette modalità di gestione delle sessioni di autenticazione eventualmente attivate dagli IdP in caso di autenticazione con un’identità SPID attribuita a un minore e che la valutazione di impatto predisposta da AgID ai sensi dell’art. 35, par. 10, del Regolamento sia integrata e aggiornata tenendo conto delle considerazioni formulate e ritrasmessa al Garante.

Infine, il Garante raccomanda di adottare misure che non discriminino i minori non ancora in possesso di Spid, in particolare con riferimento ai servizi on line offerti dalle scuole agli studenti, eventualmente anche permettendo loro l’utilizzo delle credenziali già in uso.