SPID per i minori: come attivarlo e a cosa serve

La normativa vigente consente la creazione dell’identità digitale a favore di tutti i cittadini.

Nel momento in cui si estende anche ai minori la possibilità di acquisire la propria identità digitale appare, tuttavia, evidente la necessità di una tutela specifica trattandosi di un soggetto fragile.

A tal fine gli art. 5,8 e 38 del Regolamento (UE) 2016/679 recante il Regolamento Generale sulla Protezione dei Dati (GDPR) rappresentano un importante riferimento per approntare la specifica protezione relativamente ai dati personali dei minori, che possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate, nonché dei loro diritti in relazione al trattamento dei dati personali.

 

Le tutele richieste dal Garante privacy

I trattamenti sottesi al rilascio dello SPID e al suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.

Under e over 14 anni

I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli, invece, potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.

L’Autorità ha chiesto ad AgID di introdurre garanzie aggiuntive, con particolare riferimento alla procedura di rilascio dell’identità SPID da parte degli Identity provider, che richiede un’accurata verifica dell’identità del genitore e del minore e l’individuazione delle informazioni da raccogliere e conservare, nel rispetto del principio di minimizzazione.

Anche i service provider dovranno impegnarsi a valutare quali siano i servizi da offrire direttamente ai minori e le garanzie da assicurare in ragione delle caratteristiche degli stessi.

L’utilizzo di SPID per gli infraquattordicenni, ammissibile unicamente per i servizi online offerti dalle scuole, dovrà avvenire per un periodo sperimentale, fino al 30 giugno 2023, garantendo comunque l’accesso a tali servizi senza SPID con le modalità eventualmente già in uso.

Al termine della sperimentazione, che coinvolgerà anche il Ministero dell’Istruzione, dovrà essere valutata l’adeguatezza delle misure adottate.

L’informativa ai minori

Il Garante della privacy pone l’accento anche sulle caratteristiche che devono contraddistinguere l’informativa. L’informativa rivolta ai minori dovrà avere un linguaggio semplice e chiaro.

Le procedure individuate per il rilascio e la gestione dell’identità digitale del minore e per la fruizione dei servizi mediante SPID sono fondate sui principi di:

• liceità
• correttezza
• trasparenza
• limitazione delle finalità
• minimizzazione dei dati rispetto alle finalità individuate
• esattezza e aggiornamento dei dati
• limitazione della conservazione
• integrità e riservatezza, nel rispetto del principio di responsabilizzazione posto in capo al fornitore di servizi SPID e al gestore dell’identità digitale SPID, nei contesti di rispettiva competenza e titolarità nel trattamento dei dati personali del minore.

Pertanto, vista l’importanza da dare alla protezione dei dati personali del minore, si permette ai fornitori di servizi SPID, qualora lo ritengano opportuno, in base alle proprie valutazioni, nel rispetto del principio di responsabilizzazione, di ottenere la certezza sull’età del minore anche in assenza di alcun altro dato che possa ulteriormente identificarlo.

Lo SPID è uno strumento che può essere utilizzato anche per proteggere i minori, in quanto consente l’accesso ai servizi in rete mediante selezione dei relativi fruitori in base all’età o, eventualmente, anche in modalità anonima.

L’AgID dovrà trasmettere al Garante Privacy una relazione sull’utilizzo di SPID per i minori, indicando i servizi offerti, il numero di identità rilasciate, le eventuali criticità rilevate e le misure individuate per porvi rimedio.

 

Come richiedere lo SPID per i minorenni

I minori tra i 5 e i 13 anni potranno utilizzare lo SPID soltanto per fruire dei servizi online erogati dagli istituti scolastici.

L’utilità verrà, poi, estesa anche ad altre funzioni, che libereranno le potenzialita’ dello SPID come strumento di dialogo tra i cittadini e le P.A.

Vengono differenziate due fasce d’età:

• Under 14: i minori tra i 5 e i 13 anni potranno usare la propria identità digitale esclusivamente per i servizi online forniti dalle scuole e sotto stretto controllo del genitore, per un periodo sperimentale fino al 30 giugno 2023.
• Over 14: i minori che hanno superato i 14 anni di età potranno dotarsi di SPID per accedere ai servizi dell’INPS, tramite l’area riservata MyINPS, al Fascicolo Sanitario Elettronico oppure alla verifica dei punti sulla patente per ciclomotori.

Il genitore:

• accede, con credenziali di livello 2, al servizio reso disponibile dal proprio gestore dell’identità digitale SPID
• inserisce i dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, codice fiscale, data nascita
• dichiara la propria qualità di esercente la responsabilità genitoriale sul minore
• dichiara di essere delegato alla richiesta di SPID da parte dell’eventuale genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore;
• accetta la ricezione di notifiche (ordinarie o push) da parte del gestore dell’identità digitale SPID per l’autorizzazione all’utilizzo di SPID da parte del minore.

Il gestore dell’identità digitale SPID:

• genera il codice del genitore
• genera il codice di verifica assegnato al minore, univoco nell’ambito di ogni gestore dell’identità digitale SPID, associando al codice del genitore un codice casuale di tre numeri in notazione decimale
• comunica il codice di verifica al genitore.

Il genitore, quindi, comunica al minore il codice di verifica al di fuori dei canali del gestore dell’identità digitale SPID.

Il minore comunica il codice di verifica al gestore dell’identità digitale SPID scelto dal proprio genitore, mediante il servizio reso disponibile.

A questo punto il gestore dell’identità digitale SPID:

• verifica la presenza dell’autorizzazione del genitore al rilascio di SPID

e in caso positivo:

• identifica il minore attraverso le modalità definite all’articolo 7 del D.P.C.M. 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese” e secondo quanto disposto nel “Regolamento recante le modalità attuative per la realizzazione dello SPID”, verificando la corrispondenza della sua identità con i dati precedentemente forniti dal genitore nonché, quando presente, con il nome di questi sul documento di identità del minore, richiesto durante l’identificazione secondo le modalità prescelta, o mediante le verifiche di cui all’art. 12 del “Regolamento recante le modalità attuative per la realizzazione dello SPID”. Qualora l’identificazione del minore intervenga de visu, in presenza o in modalità informatica, il minore infraquattordicenne deve essere affiancato dal genitore;
• rilascia l’identità digitale al minore
• invia una notifica al genitore, recante l’indicazione del nome del minore per il quale è stato rilasciato lo SPID.

Per ciò che attiene la fase di identificazione del minore gli attributi richiesti al minore sono:

• attributi identificativi obbligatori: cognome e nome, sesso, data e luogo di nascita, codice fiscale, estremi di un valido documento di identità
• attributi secondari obbligatori: e-mail
• attributi secondari facoltativi: il domicilio fisico, il domicilio digitale e il numero di telefono mobile

Nei casi in cui il minore non sia in possesso di un numero di telefonia mobile e/o di un dispositivo mobile, l’eventuale secondo fattore di autenticazione, funzionale alle autenticazioni di livello SPID 2, sarà, per esempio, trasmesso su canali alternativi quali l’indirizzo di posta elettronica oppure generato attraverso un apposito dispositivo fisico rilasciato al minore.

Resta ferma, in tali casi, la facoltà del gestore dell’identità digitale SPID di associare all’identità del minore il numero di telefono mobile del genitore, utilizzabile unicamente per le funzionalità di gestione della sicurezza dell’identità digitale del minore (alert di sicurezza, procedure di recupero delle credenziali, configurazione dell’app di autenticazione, processi di sospensione/revoca, processi di assistenza per ragioni di sicurezza).

È sempre escluso l’utilizzo del telefono del genitore per l’invio del secondo fattore di autenticazione con riferimento all’accesso del minore ai servizi dei fornitori di servizi SPID, con livello SPID 2.

Il provider dell’identità digitale del minore, infine, comunicherà al genitore con una e-mail tutti gli utilizzi che il minore farà della propria identità digitale, in modo da poter bloccare o interrompere qualsiasi attività collegata considerata non sicura.

Particolarità previste dalle Linee guida AgID

Nei casi in cui il fornitore di servizi SPID, sulla base della valutazione effettuata con riferimento alla tipologia e alla finalità del servizio erogato, non deve richiedere al genitore l’autorizzazione all’accesso al servizio da parte del minore, in relazione ai servizi erogati dagli istituti scolastici di ogni ordine e grado, nonché ai servizi di prevenzione o di consulenza forniti direttamente al minore:

• il minore chiede l’accesso al servizio del fornitore di servizi SPID
• il fornitore dei servizi SPID invia al gestore dell’identità digitale SPID la richiesta di autenticazione
• il gestore dell’identità digitale SPID effettua la procedura di autenticazione del soggetto minore, comprendente anche la verifica di congruenza fra l’età richiesta dal fornitore dei servizi SPID e l’età effettiva del minore. Qualora la verifica dia esito negativo, la procedura di autenticazione è interrotta. Qualora, invece, la verifica dia esito positivo, il gestore dell’identità digitale porta a termine il processo di autenticazione del minore presso il fornitore dei servizi SPID.

Vi è poi una ulteriore particolarità procedurale nei casi in cui il fornitore di servizi SPID, sulla base della valutazione effettuata, con riferimento alla tipologia e alla finalità del servizio erogato, deve richiedere al genitore l’autorizzazione all’accesso al servizio da parte del minore.

Ricordando che i minori infraquattordicenni possono accedere unicamente ai servizi online resi disponibili dagli istituti scolastici e che tale accesso è stato appena definito, quanto segue riguarda la procedura che si applica ai soli minori ultraquattordicenni nell’accesso ai servizi non ricompresi fra quelli di prevenzione o di consulenza forniti direttamente al minore:

• il minore chiede l’accesso al servizio del fornitore di servizi SPID
• il fornitore di servizi SPID invia al gestore dell’identità digitale SPID la richiesta di autenticazione
• il gestore dell’identità digitale SPID effettua la procedura di autenticazione del soggetto minore, comprendente anche le seguenti operazioni:

1. il gestore dell’identità digitale SPID esegue la verifica di congruenza fra l’età richiesta dal fornitore di servizi SPID e l’età effettiva del minore. Qualora la verifica dia esito negativo, la procedura di autenticazione è interrotta con esito negativo. Qualora, invece, la verifica dia esito positivo, il gestore dell’identita’ digitale SPID continua la procedura di autenticazione
2. il gestore dell’identità digitale SPID invia al minore la richiesta di conferma della sua volontà di chiedere al genitore l’autorizzazione all’accesso. Qualora il minore non confermi tale volontà, la procedura di autenticazione è interrotta con esito negativo. Se, invece, il minore conferma tale volontà, la procedura di autenticazione prosegue con i passaggi successivi

• il gestore dell’identità digitale SPID invia al genitore una notifica contenente:

1. il nome e il cognome del minore
2. la denominazione del fornitore di servizi SPID al cui servizio il minore ha chiesto di accedere
3. la data e l’ora della richiesta di accesso
4. la richiesta di autorizzazione all’accesso del minore.

Se il genitore non autorizza l’accesso, la procedura di autenticazione è interrotta con esito negativo, altrimenti il genitore fornisce l’autorizzazione all’accesso. Il gestore dell’identita’ digitale porta a termine il processo di autenticazione del minore presso il fornitore di servizi SPID.

Il gestore dell’identità digitale SPID deve consentire al genitore di accedere esclusivamente alle informazioni necessarie all’espletamento di tali attività, garantendo la riservatezza del minore con riferimento a ulteriori informazioni di utilizzo della propria identità digitale.

Nel caso in cui il minore sia ultraquattordicenne, il gestore dell’identita’ digitale deve fornire anche a questi un servizio, accessibile mediante credenziali SPID almeno di livello 2, che consenta:

• la gestione, in autonomia, della propria identità digitale e che preveda almeno la possibilità di sospensione di tale identità
• la consultazione, in autonomia, degli accessi effettuati presso i fornitori di servizi SPID.

Quando sopraggiunge la maggiore età

Al compimento del diciottesimo anno di età, il gestore dell’identità digitale SPID deve inviare un messaggio al neo maggiorenne mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale.

Nel caso in cui il neo maggiorenne non chieda la revoca, l’identità digitale deve restare attiva, ma il gestore dell’identità digitale SPID deve:

• eliminare i legami con l’identità digitale del genitore;
• rimuovere le limitazioni precedentemente imposte al minore di età;
• cancellare tutte le informazioni relative all’utilizzo dell’identità digitale del minore rese disponibili al genitore, fatta eccezione per i log, in ragione del dovuto rispetto della politica di data retention, ovvero la policy inerente la conservazione dei dati.