Login con la CIE invece dello SPID: il Garante aspetta

Il Garante è stato chiamato a pronunciarsi, ai sensi dell’articolo 66 del Cad, sullo
schema di decreto del Ministro dell’interno, di concerto con i Ministri dell’economia
e delle finanze e per l’innovazione tecnologica e la transizione digitale, concernente
le modalità di impiego della carta d’identità elettronica (Cie). Tale schema contiene,
in particolare, disposizioni concernenti la gestione dell’identità digitale rilasciata al
cittadino associata alla Cie medesima (CieId) – analogamente a quanto consentito
con l’identità digitale Spid (cfr. art. 64, comma 2-quater, del Cad) – per l’accesso ai
servizi erogati in rete dalle p.a. e dai privati (i cd. fornitori di servizi), con tre diversi
livelli di sicurezza di autenticazione informatica.

Lo schema recepisce le indicazioni fornite dall’Ufficio, volte ad applicare al
sistema CieId le misure già previste per il sistema Spid, quali in particolare quelle
concernenti: l’individuazione dei Dati personali raccolti al momento dell’attivazione
delle credenziali, nonché la fonte di provenienza e la previsione di flussi, verso i
fornitori dei servizi e nel processo di autenticazione informatica, che limitino la
richiesta dei dati al minimo necessario per l’erogazione di ciascun servizio in rete;
l’individuazione delle finalità per le quali viene assicurata l’integrazione con l’Anpr;
la definizione delle misure a garanzia della gestione, conservazione, limitazione
della finalità e accessibilità dei registri degli accessi; la previsione di compiti di
monitoraggio in capo al Ministero dell’interno nonché degli obblighi di notifica
al Garante delle violazioni dei dati personali; la puntuale definizione dei ruoli e dei
compiti di tutti i soggetti a vario titolo coinvolti nei trattamenti; l’effettuazione della
valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del RGPD, da
parte del Ministero dell’interno, quale Titolare del trattamento.

Considerato che lo schema consente al cittadino maggiorenne, di conferire o
negare il Consenso alla donazione di organi in caso di morte anche attraverso il portale
dell’identità del cittadino, il parere favorevole ha posto la condizione che, prima
dell’avvio del trattamento, il Ministero dell’interno acquisisca apposita conferma
dal Ministero della salute per assicurare il pieno coordinamento con la normativa
in materia di prelievi e di trapianti di organi e di tessuti. Inoltre, con riferimento al
trattamento dell’IdAnpr riferito a ciascun cittadino (associato alla CieId in fase di
attivazione delle credenziali di autenticazione informatica), l’Autorità si è riservata
di effettuare specifiche valutazioni all’esito dell’esame degli schemi di provvedimenti
attuativi dell’art. 62, comma 6-bis, del Cad, mentre, i servizi messi a disposizione
dal Ministero per l’utilizzo del NIS – in relazione ai quali le modalità e i requisiti di
accesso saranno disciplinati da un separato atto del Ministero dell’interno, sentito
il Garante – potranno essere attivati solamente in presenza di apposita e idonea
base giuridica che funga da presupposto e determini le finalità, le tipologie di dati
personali oggetto di Trattamento e le operazioni eseguibili (provv. 7 luglio 2022, n.
247, doc. web n. 9803398).