Spid non sarà più riservato solo ai maggiorenni. Il Garante privacy ha dato l’ok alla proposta di AgID sull’apertura anche ai minori del Sistema Pubblico di identità digitale, individuando, però, le garanzie per l’utilizzo da parte degli under 18. Saranno i genitori a richiedere lo SPID per loro.
Spid per i minori, le regole
Ecco le nuove regole da implementare per il rilascio di SPID anche ai minori:
- I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti.
- I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.
Le garanzie individuate dal Garante Privacy
I trattamenti sottesi al rilascio di SPID e al suo utilizzo per l’accesso ai servizi online espongono infatti i minori a rischi che richiedono una specifica protezione, osserva il Garante, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.
L’Autorità ha chiesto ad AgID di modificare lo schema introducendo garanzie aggiuntive, con particolare riferimento alla procedura di rilascio dell’identità SPID da parte degli identity provider che richiede un’accurata verifica dell’identità del genitore e del minore e l’individuazione delle informazioni da raccogliere e conservare, nel rispetto del principio di minimizzazione. Anche i service provider dovranno impegnarsi a valutare quali siano i servizi da offrire direttamente ai minori e le garanzie da assicurare in ragione delle caratteristiche degli stessi.
SPID per gli under 14 solo per i servizi online delle scuole
L’utilizzo di SPID per gli infraquattordicenni è ammissibile unicamente, ha deciso il Garante Privacy, per i servizi online offerti dalle scuole (come, ad esempio, il registro elettronico), e dovrà avvenire per un periodo sperimentale, fino al 30 giugno 2023, garantendo comunque l’accesso a tali servizi senza SPID con le modalità eventualmente già in uso. Al termine della sperimentazione, che coinvolgerà anche il Ministero dell’istruzione, dovrà essere valutata l’adeguatezza delle misure adottate.
Inoltre, l’informativa rivolta ai minori dovrà avere un linguaggio semplice e chiaro; al compimento della maggiore età, l’interessato dovrà espressamente scegliere se mantenere o revocare la propria identità digitale, anche con modalità diverse da SPID.
L’AgID dovrà trasmettere al Garante Privacy una relazione sull’utilizzo di SPID per i minori, indicando i servizi offerti, il numero di identità rilasciate, le eventuali criticità rilevate e le misure individuate per porvi rimedio.
Age verification sui social con SPID per gli over 14?
Una volta completata la procedura di rilascio di SPID per gli over 14, la stessa modalità di identificazione potrà essere utilizzata per verificare l’età, e non l’identità, dei ragazzi quando si iscrivono ai social network?
Il decreto legislativo (101/2018), che ha adeguato la normativa italiana al GDPR, vieta agli under 13 l’iscrizione ai social; tra i 13 e i 14 anni ci si può iscrivere con il consenso dei genitori, mentre dai 14 anni in poi è possibile farlo autonomamente.
Ad oggi, per i social non è stata ancora risolta l’age verification chiesta dal Garante Privacy, con il provvedimento del 22 gennaio 2021 nei confronti di TikTok, dopo la morte della bimba di Palermo.
“Accertare con certezza l’età degli utenti”, questo quanto stabilito dall’Autorità. Ma nessuno dei social network fornisce strumenti idonei a verificare con certezza l’età minima di iscrizione. Lo spid per gli over 14 potrebbe essere una soluzione?
In merito, lo schema di linee guida di AgID introduce specifiche estensioni SAML che il Service Provider (SP) può riportare all’interno delle richieste di autenticazione (authRequest) e che l’IdP deve utilizzare per gestire l’accesso al servizio da parte del minore. In particolare, previsto che il Service Provider possa indicare l’età minima e massima per l’accesso al servizio (spid:MinAge e spid:MaxAge), l’età al di sotto della quale richiesta l’autorizzazione del genitore (spid:AgeParentAuth), l’indirizzo della pagina web dove sono pubblicate informazioni relative al servizio offerto e al connesso trattamento dei dati personali (spid:PrivacyURL) e la necessità di raccogliere un consenso al trattamento dei dati personali del minore da parte del SP (spid:Consensus).
Al riguardo, il Garante Privacy ha osservato: “al fine di meglio esplicitare le modalità con cui si intende impedire l’accesso da parte di un minore a servizi non destinati ai minori o non conformi all’età prevista e di assicurare la consapevolezza dei Service Provider in relazione ai rischi insiti nell’erogazione di servizi rivolti a minori, occorre che lo schema in esame sia integrato precisando che, in caso di richiesta di autenticazione priva delle predette nuove estensioni SAML, l’identity provider debba interrompere con esito negativo la procedura di autenticazione avviata con l’identità SPID di un minore”.