Arriva l’ok del Garante della protezione dei dati personali all’estensione dell’utilizzo dell’identità digitale SPID ai minorenni. I ragazzi sopra i 14 anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti, mentre i più piccoli potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.
Con la nota dell’11 gennaio 2022, l’AgiD (Agenzia per l’Italia digitale) ha richiesto parere al Garante per la privacy sullo schema proposto in materia di “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”.
Secondo l’AgiD l’assegnazione di un’identità digitale ai minori consentirebbe loro di:
- acquisire la propria identità digitale, previa richiesta da parte di chi esercita la responsabilità genitoriale;
- fruire autonomamente di servizi online mediante la propria identità digitale, ferma restando – salvo casi specifici – la possibilità di autorizzazione e verifica da parte dell’esercente la responsabilità genitoriale.
Consentirebbe inoltre ai fornitori di servizi in rete di selezionare i propri utenti in base alla loro età.
Tuttavia, il GDPR, al Considerando n. 38, prevede espressamente che:
“I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore.”
Nel fornire il proprio parere il Garante ha preliminarmente evidenziato che nel nostro ordinamento sussistono già due sistemi di identificazione digitale dei cittadini, sostanzialmente fungibili o comunque idonei a soddisfare esigenze giuridiche sovrapponibili, ad eccezione di talune marginali questioni di diversa usabilità: il CIE (Carta di Identità Elettronica) e lo SPID (Sistema Pubblico di Identità Digitale).
Appare pertanto evidente che l’apertura anche ai minori dello SPID possa rappresentare una duplicazione dei trattamenti di dati personali posti in essere dallo Stato – o per conto dello Stato – in vista del perseguimento di un’identica finalità ossia l’identificazione delle persone da parte di fornitori di servizi pubblici e privati.
Inoltre non è dato rinvenire nell’ordinamento un significativo numero di casi nei quali ai minori sia richiesto di identificarsi direttamente – e non per il tramite della rappresentanza che compete agli esercenti la potestà genitoriale – dinanzi a fornitori di servizi digitali pubblici o privati.
L’Autorità Garante ha quindi manifestato qualche perplessità in punto ai possibili benefici connessi ai trattamenti sottesi al rilascio e all’utilizzo delle identità digitali da parte dei minori, sottolinenando di contro i potenziali rischi.
Da tali circostanze discende quindi la necessità di una attenta valutazione in punto alla compatibilità dei suddetti trattamenti principalmente con riferimento ai principi di proporzionalità, liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e privacy by design e by default, dettati dal GDPR.
Le tutele richieste dal Garante Privacy
Il Garante per la protezione dei dati personali ha espresso un parere favorevole su quanto sottopostogli purché vengano introdotte delle garanzie aggiuntive, con particolare riferimento alla procedura di rilascio dell’identità SPID da parte degli identity provider che richiede un’accurata verifica dell’identità del genitore e del minore e l’individuazione delle informazioni da raccogliere e conservare, nel rispetto del principio di minimizzazione.
Inoltre, ha sottolineato che anche i service provider dovranno impegnarsi a valutare quali siano i servizi da offrire direttamente ai minori e le garanzie da assicurare in ragione delle caratteristiche degli stessi.
A tal fine, é stata posta la distinzione tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.
In particolare, i ragazzi dai quattordici anni in su potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla p.a. a loro rivolti.
I più piccoli potranno invece utilizzarlo solo per i servizi online forniti dalle scuole (come ad es. il registro scolastico elettronico) ed, in ogni caso, saranno i genitori a richiedere lo SPID per loro.
Nello specifico, per i minori tra i 5 ed i 13 anni lo SPID sarà previsto in via sperimentale fino al 30 giugno 2023, e fino a tale data l’Agenzia per l’Italia digitale dovrà operare in concerto con il Ministero
L’Authority ha richiesto altresì che sia creato un meccanismo in grado di controllare che chi chiede l’identità digitale per conto del figlio o di un minorenne sia una persona effettivamente deputata a farlo, ovvero che si tratti realmente di un genitore o di chi esercita la responsabilità genitoriale.
In altri termini, l’identity provider di fronte ad una richiesta di identità digitale per un minore dovrà svolgere una duplice verifica di identificazione: una rivolta ai genitori che avanzano la richiesta e l’altra al minore per il quale si intende ottenere lo SPID.
Infine, l’informativa destinata ai minori dovrà avere un linguaggio semplice e chiaro. Al compimento della maggiore età, l’interessato dovrà espressamente scegliere se mantenere o revocare la propria identità digitale, anche con modalità diverse da SPID.
VP
