Si moltiplicano gli annunci su Spid che dovrebbe essere operativo nei prossimi mesi, ma già via Twitter al presidente del Consiglio Dei Ministri su #SPID facciamolo in fretta, si moltiplicano gli appelli “facciamolo bene e nel rispetto della Privacy”.
La velocità, infatti, a volte male si concilia con il fare le cose per bene e nel rispetto della normativa, nella fattispecie quella sulla privacy e sulla sicurezza che dovrebbe tenere gli operatori pubblici e privati al riparo dai profili di responsabilità civile che il sistema non pare tenere in debita considerazione. Infatti, i gestori delle Identità Digitali sono obbligati a fornire agli utenti servizi nel rispetto dei Principi sull’erogazione dei servizi pubblici, ai sensi della direttiva del Pcm del 27 gennaio 1994, e nelle loro attività di registrazione potrebbero anche avvalersi, in vista della complessità ed estensione nazionale dell’attività, di soggetti esterni, quali singoli professionisti o imprese. Laddove dovessero ricorrere a detti soggetti, potranno farlo solo nel rispetto dell’art. 29 del d. lgs 30 giugno 2003, n. 196 – in tema di capacità del responsabile del trattamento designato – mentre l’accordo che regolerà il rapporto tra gestore e soggetto esterno incaricato, dovrà essere preventivamente approvato dall’Agenzia per l’Italia Digitale la quale dovrà anche verificarne l’adeguatezza riguardo al trattamento dei dati e delle procedure, e sulla formazione del personale impiegato.
Sempre in capo ai gestori è la sicurezza tecnica e crittografica e del procedimento che dovrà essere rispettoso della normativa europea e internazionale. Altro aspetto molto critico è l’adeguamento dei sistemi in seguito agli aggiornamenti della normazione tecnica nonché delle misure volte a prevenire contraffazioni o violazioni all’integrità e alla sicurezza del procedimento dell’ attività di generazione delle credenziali di accesso, sicurezza che potrebbe essere facilmente assicurata attraverso il sistema degli Msm, o di un messaggio di posta elettronica all’indirizzo mail registrato, ad ogni utilizzo di uno dei servizi effettuato tramite l’ID, cosi come avviene già per le carte prepagate per ogni ricarica o transazione che viene eseguita. La problematica, infatti, è quella di poter rilevare e prevenire gli usi impropri o i tentativi di violazione o le intrusione, o in caso di duplicazione o clonazione delle credenziali, di accesso dell’identità digitale. La comunicazione all’utente di ogni accesso parrebbe essere la strada più semplice e immediata per far scoprire al titolare l’intrusione e, quindi, fare richiedere la sospensione dell’identità digitale.
L’informazione all’utente è una delle attività che i gestori, quindi, dovranno garantire alle quali si aggiungeranno quelle riguardanti i servizi erogati; in particolare alle condizioni economiche e tecniche per l’erogazione dei servizi anche tramite l’attivazione di linee di comunicazione telefoniche e telematiche, oltre ad adeguate informazioni circa le norme giuridiche e tecniche di espletamento dei servizi a essi forniti.
Sotto il profilo della tutela giurisdizionale, poi, in capo ai gestori verte l’obbligo d’informativa, ai soggetti titolari delle ID, in merito alle decisioni e ai reclami e dovrà essere loro assicurata una procedura preventiva di conciliazione al fine di prevenire il contenzioso. Tale procedura di Adr dovrà essere rimessa a organismi terzi, o a singoli professionisti in materia di Adr civile e commerciale, indipendenti sia dai soggetti erogatori dell’ID che dai Server Providers. Il tutto si spera attraverso un procedimento snello e semplice sulla falsariga delle ODR, che in caso d’insuccesso consente, senza altre condizioni di procedibilità, direttamente l’accesso alla tutela giurisdizionale.
Anche con riferimento al trattamento dei dati personali dovranno poi essere fornite informazioni sull’ambito di utilizzo delle identità digitali Spid e si pone l’occasione per superare la vetusta “funzione” del soggetto responsabile del trattamento e passare al “profilo professionale” dell’esperto nel trattamento dei dati personali.
