La privacy dalla parte delle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 



   wallet 2025-02-04 ·  NEW:   Appunta · Stampa · Cita: 'Doc 99258' · pdf

Wallet europeo e identità digitale - avanti tutta in Gazzetta

abstract:



Pubblicato anche nella Gazzetta Italiana Europea il regolamento attuativo

Fonte: Eur Lex
Link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

-




index:

Indice

  • Articolo 1 Oggetto e ambito di appl
  • Articolo 2 Definizioni
  • Articolo 3 Rilascio di dati di iden
  • Articolo 4 Rilascio di attestati el
  • dei dati di identificazione personale
  • Articolo 6 Entrata in vigore



testo:

R

REGOLAMENTO DI ESECUZIONE (UE) 2024/2977 DELLA COMMISSIONE
del 28 novembre 2024
recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi
rilasciati ai portafogli europei di identità digitale

Articolo 1 Oggetto e ambito di applicazione

Il presente regolamento stabilisce le norme per il rilascio di dati di identificazione personale e di attestati elettronici di attributi alle unità di portafoglio, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici, della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, in particolare dell’architettura e del quadro di riferimento.

Articolo 2 Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

(1)

«utente del portafoglio»: un utente che ha il controllo dell’unità di portafoglio;

(2)

«unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;

(3)

«soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;

(4)

«fornitore di dati di identificazione personale»: la persona fisica o giuridica Responsabile del rilascio e della Revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un’unità di portafoglio;

(5)

«attestato di unità di portafoglio»: un oggetto di dati che descrive i componenti dell’unità di portafoglio o consente la loro autenticazione e convalida;

(6)

«istanza di portafoglio»: l’applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un’unità di portafoglio, e che l’utente del portafoglio utilizza per interagire con l’unità di portafoglio;

(7)

«applicazione crittografica sicura per il portafoglio»: un’applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l’uso di tali funzioni;

(8)

«dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all’applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l’esecuzione sicura di operazioni critiche;

(9)

«fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio;

(10)

«risorse critiche»: risorse all’interno di un’unità di portafoglio o ad essa relative, di importanza tale che un’eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull’unità di portafoglio;

(11)

«parte facente affidamento sul portafoglio»: una parte facente affidamento che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale;

(12)

«certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio;

(13)

«fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento alle parti facenti affidamento sul portafoglio registrate in tale Stato membro.

Articolo 3 Rilascio di dati di identificazione personale a unità di portafoglio

1.   I fornitori di dati di identificazione personale rilasciano dati di identificazione personale alle unità di portafoglio conformemente ai regimi di identificazione elettronica nel contesto dei quali le soluzioni di portafoglio sono fornite.

2.   I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio contengano le informazioni necessarie per l’autenticazione e la convalida dei dati di identificazione personale.

3.   I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio siano conformi alle specifiche tecniche di cui all’allegato.

4.   Gli Stati membri provvedono affinché i dati di identificazione personale rilasciati a un determinato utente del portafoglio siano univoci per lo Stato membro.

5.   I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale da essi rilasciati siano associati crittograficamente all’unità di portafoglio a cui sono rilasciati.

6.   Gli Stati membri rendono pubblicamente disponibile un elenco delle soluzioni di portafoglio supportate da fornitori di dati di identificazione personale che fanno parte dei regimi di identificazione elettronica dello Stato membro in questione.

7.   Gli Stati membri registrano gli utenti del portafoglio conformemente ai requisiti relativi alla registrazione al livello di garanzia elevato di cui al regolamento di esecuzione (UE) 2015/1502 della Commissione (11). Nel contesto del processo di registrazione, i fornitori di dati di identificazione personale effettuano la verifica dell’identità dell’utente del portafoglio conformemente ai requisiti relativi al controllo dell’identità e alla verifica prima di rilasciare i dati di identificazione personale all’unità di portafoglio dell’utente del portafoglio corrispondente.

8.   Quando rilasciano dati di identificazione personale a unità di portafoglio, i fornitori di dati di identificazione personale si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio oppure utilizzando un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.

9.   Prima di rilasciare dati di identificazione personale a un’unità di portafoglio, i fornitori di dati di identificazione personale autenticano e convalidano l’attestato di unità di portafoglio dell’unità di portafoglio e verificano che l’unità di portafoglio appartenga a una soluzione di portafoglio accettata dal fornitore di dati di identificazione personale oppure utilizzano un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.

Articolo 4 Rilascio di attestati elettronici di attributi a unità di portafoglio

1.   Gli attestati elettronici di attributi rilasciati a unità di portafoglio sono conformi ad almeno una delle norme dell’elenco di cui all’allegato I del regolamento di esecuzione (UE) 2024/2979 della Commissione.

2.   I fornitori di attestati elettronici di attributi si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio.

3.   I fornitori di attestati elettronici di attributi garantiscono che gli attestati elettronici di attributi rilasciati a unità di portafoglio contengano le informazioni necessarie per l’autenticazione e la convalida di tali attestati elettronici di attributi.

Articolo 5 Revoca dei dati di identificazione personale

1.   I fornitori di dati di identificazione personale rilasciati a un’unità di portafoglio dispongono di politiche scritte e accessibili al pubblico relative alla gestione dello stato della validità, comprese, se del caso, le condizioni alle quali tali dati di identificazione personale possono essere revocati senza indugio.

2.   Soltanto i fornitori di dati di identificazione personale o di attestati elettronici di attributi possono revocare i dati di identificazione personale o gli attestati elettronici di attributi da essi rilasciati.

3.   Qualora abbiano revocato i dati di identificazione personale, i fornitori di dati di identificazione personale, entro 24 ore dalla revoca, informano attraverso canali dedicati e sicuri gli utenti del portafoglio interessati da tali dati di identificazione personale, indicando altresì i motivi della revoca. Ciò avviene in maniera concisa, facilmente accessibile e utilizzando un linguaggio semplice e chiaro.

4.   Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale procedono in tal senso in ciascuna delle circostanze seguenti:

a)

su richiesta esplicita dell’utente del portafoglio alla cui unità di portafoglio sono stati rilasciati i dati di identificazione personale o l’attestato elettronico di attributi;

b)

qualora l’attestato di unità di portafoglio a cui sono stati rilasciati i dati di identificazione personale sia stato revocato;

c)

in altre situazioni determinate dai fornitori di dati di identificazione personale o di attestati elettronici di attributi nelle loro politiche di cui al paragrafo 1.

5.   I fornitori di dati di identificazione personale rilasciati a un’unità di portafoglio garantiscono che le revoche non possano essere annullate.

6.   I dati di identificazione personale revocati rimangono accessibili per il tempo previsto dal diritto dell’Unione o dal diritto nazionale.

7.   Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale rendono pubblicamente disponibili lo stato di validità dei dati di identificazione personale da essi rilasciati, secondo modalità tali da tutelare la vita privata, e indicano l’ubicazione di tali informazioni nei dati di identificazione personale.

8.   I fornitori di dati di identificazione personale rendono possibili tecniche di tutela della vita privata che impediscono i collegamenti laddove gli attestati elettronici di attributi non richiedano l’identificazione dell’utente.

Articolo 6 Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 28 novembre 2024

Per la Commissione

La presidente

Ursula VON DER LEYEN


(1)   GU L 257 del 28.8.2014, pag. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al Trattamento dei Dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4)  Regolamento di esecuzione (UE) 2024/2982 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale (GU L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(5)  Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l’integrità e le funzionalità di base dei portafogli europei di identità digitale (GU L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(6)  Regolamento di esecuzione (UE) 2024/2977 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale (GU L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(7)  Regolamento di esecuzione (UE) 2024/2980 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale (GU L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(8)   GU L 210 del 14.6.2021, pag. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(9)  Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(10)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al Trattamento dei Dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(11)  Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell’8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, pag. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).


ALLEGATO

Specifiche tecniche per i dati di identificazione personale di cui all’articolo 3, paragrafo 3

1.   Insieme di dati di identificazione delle persone fisiche

Tabella 1

Dati di identificazione personale obbligatori per le persone fisiche

Identificatore dei dati

Definizione

Presenza

family_name

Cognome/i attuale/i dell’utente a cui i dati di identificazione personale fanno riferimento.

Obbligatorio

given_name

Nome/i attuale/i, compresi secondi nomi se del caso, dell’utente a cui i dati di identificazione personale fanno riferimento.

Obbligatorio

birth_date

Giorno, mese e anno in cui è nato l’utente a cui i dati di identificazione personale fanno riferimento.

Obbligatorio

birth_place

Paese, sotto forma di codice paese alpha-2, come specificato nella norma ISO 3166-1, oppure Stato, provincia, distretto o area locale o comune, città o località in cui è nato l’utente a cui i dati di identificazione personale fanno riferimento.

Obbligatorio

nationality

Uno o più codici paese alpha-2, come specificati nella norma ISO 3166-1, che rappresentano la cittadinanza dell’utente a cui i dati di identificazione personale fanno riferimento.

Obbligatorio

Se un valore di attributo non è noto per la persona o non può essere rilasciato altrimenti nell’insieme di dati di identificazione personale, gli Stati membri utilizzano piuttosto un valore di attributo adeguato alla situazione.

Tabella 2

Dati di identificazione personale facoltativi per le persone fisiche

Identificatore dei dati

Definizione

Presenza

resident_address

L’indirizzo completo del luogo presso il quale risiede o può essere contattato attualmente l’utente a cui i dati di identificazione personale fanno riferimento (via, numero civico, città ecc.).

Facoltativo

resident_country

Il paese in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento, sotto forma di codice paese alpha-2, come specificato nella norma ISO 3166-1.

Facoltativo

resident_state

Lo Stato, la provincia, il distretto o l’area locale in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento.

Facoltativo

resident_city

Il comune, la città, la località o il paese in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento.

Facoltativo

resident_postal_code

Il codice postale del luogo in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento.

Facoltativo

resident_street

Il nome della via in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento.

Facoltativo

resident_house_number

Il numero civico in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento, compresi eventuali affissi o suffissi.

Facoltativo

personal_administrative_number

Un valore assegnato alla persona fisica che è univoco tra tutti i numeri amministrativi personali rilasciati dal fornitore di dati di identificazione personale. Qualora scelgano di includere tale attributo, gli Stati membri descrivono nei loro regimi di identificazione elettronica nell’ambito dei quali sono rilasciati i dati di identificazione personale la politica che applicano ai valori di tale attributo, comprese, se del caso, le condizioni specifiche per il Trattamento di questo valore.

Facoltativo

portrait

Immagine del volto dell’utente del portafoglio conforme alle specifiche di cui alla norma ISO 19794-5 o ISO 39794.

Facoltativo

family_name_birth

Cognome/i dell’utente dei dati di identificazione personale al momento della nascita.

Facoltativo

given_name_birth

Nome/i, compresi secondi nomi, dell’utente dei dati di identificazione personale al momento della nascita.

Facoltativo

sex

Il valore deve essere uno dei seguenti:

 

0 = non noto;

 

1 = maschio;

 

2 = femmina;

 

3 = altro;

 

4 = inter;

 

5 = diverso;

 

6 = aperto;

 

9 = non applicabile.

Per i valori 0, 1, 2 e 9 si applica la norma ISO/IEC 5218.

Facoltativo

email_address

Indirizzo di posta elettronica dell’utente a cui i dati di identificazione personale fanno riferimento [conformemente all’RFC 5322].

Facoltativo

mobile_phone_number

Numero di cellulare dell’utente a cui i dati di identificazione personale fanno riferimento, che inizia con il simbolo «+" indicante il prefisso internazionale, seguito dal prefisso del paese e da cifre.

Facoltativo

2.   Insieme di dati di identificazione delle persone giuridiche

Tabella 3

Dati di identificazione personale obbligatori per le persone giuridiche

Elemento di dati

Presenza

ragione sociale attuale

Obbligatorio

identificatore univoco costruito dallo Stato membro di invio conformemente alle specifiche tecniche ai fini dell’identificazione transfrontaliera e il più possibile persistente nel tempo

Obbligatorio

Se un elemento di dati non è noto per la persona o non può essere rilasciato altrimenti nell’insieme di dati di identificazione personale, gli Stati membri utilizzano piuttosto un valore di attributo adeguato alla situazione.

Tabella 4

Dati di identificazione personale facoltativi per le persone giuridiche

Elemento di dati

Presenza

indirizzo attuale

Facoltativo

numero di partita IVA

Facoltativo

numero di riferimento fiscale

Facoltativo

identificativo unico europeo di cui alla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio

Facoltativo

identificativo della persona giuridica di cui al regolamento di esecuzione (UE) 2022/1860 della Commissione

Facoltativo

numero di registrazione e identificazione degli operatori economici (EORI) di cui al regolamento di esecuzione (UE) n. 1352/2013 della Commissione

Facoltativo

numero di accisa di cui all’articolo 2, punto 12, del regolamento (UE) n. 389/2012 del Consiglio

Facoltativo

3.   Insieme di metadati relativi ai dati di identificazione personale

Tabella 5

Metadati relativi ai dati di identificazione personale

Identificatore dei dati

Definizione

Presenza

expiry_date

Data (e se possibile ora) in cui scadranno i dati di identificazione personale.

Obbligatorio

issuing_authority

Nome dell’autorità amministrativa che ha rilasciato i dati di identificazione personale o codice paese alpha-2 conforme alla norma ISO 3166 del rispettivo Stato membro qualora non esista un’autorità distinta autorizzata a rilasciare i dati di identificazione personale.

Obbligatorio

issuing_country

Codice paese alpha-2, come specificato nella norma ISO 3166-1, del paese o territorio del fornitore dei dati di identificazione personale.

Obbligatorio

document_number

Un numero per i dati di identificazione personale, assegnato dal fornitore di tali dati.

Facoltativo

issuing_jurisdiction

Codice di suddivisione del paese corrispondente alla giurisdizione in cui sono stati rilasciati i dati di identificazione personale, come specificato al punto 8 della norma ISO 3166-2:2020. La prima parte del codice è identica al valore per il paese di rilascio.

Facoltativo

location_status

L’ubicazione delle informazioni sullo stato di validità dei dati di identificazione personale qualora i fornitori di dati di identificazione personale revochino i dati di identificazione personale.

Facoltativo

4.   Codifica degli attributi dei dati di identificazione personale

I dati di identificazione personale devono essere rilasciati in due formati:

(1)

il formato specificato nella norma ISO/IEC 18013-5:2021;

(2)

il formato di cui al documento Verifiable Credentials Data Model 1.1., W3C Recommendation, 3 marzo 2022.

5.   Dettagli dell’infrastruttura fiduciaria

L’elenco dei fornitori di dati di identificazione personale messo a disposizione dalla Commissione a norma del regolamento di esecuzione (UE) 2024/2980 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale consente l’autentificazione dei dati di identificazione personale.


ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj

ISSN 1977-0707 (electronic edition)


Link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF

Testo del 2025-02-04 Fonte: Eur Lex




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Wallet europeo e identità digitale - avanti tutta in Gazzetta e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza










La privacy dalle basi fino all'attualità.
Udemy lo consiglia alle aziende.
adv IusOnDemand