Consultazione pubblica Agid sulle Linee guida per la fruzione di Spid per i minori

di Alfonso Contaldo -

E’ stata avviata da aprile  la consultazione sul testo normativo elaborato dall’Agid riguardante le linee guida operative per la fruizione dei servizi di Spid da parte dei minori.

Del resto il  legislatore italiano, con l’art. 2 quinquies d.lgs. 10 agosto 2018 n.110 incidendo sul Codice della privacy ha previsto il “Consenso del minore in relazione ai servizi della società dell’informazione”.

Il minore che ha compiuto i quattordici anni può esprimere il consenso al

trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società

dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

In relazione all’offerta diretta ai minori dei servizi della società dell’informazione, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.”

Il primo comma dell’articolo 320 del codice civile dispone che “I genitori congiuntamente, o quello che esercita in via esclusiva la responsabilità genitoriale, rappresentano i figli nati e nascituri, fino alla maggiore età o all’emancipazione, in tutti gli atti civili e ne amministrano i beni. Gli atti di ordinaria amministrazione, esclusi i contratti con i quali si concedono o si acquistano diritti personali di godimento, possono essere compiuti disgiuntamente da ciascun genitore. Si applicano, in caso di disaccordo o di esercizio difforme dalle decisioni concordate, le disposizioni dell’articolo 316”.

In considerazione di quanto sopra e, più in generale, della normativa vigente con riferimento alla sfera giuridica del minore, per l’accesso ai servizi in rete da parte del minore occorre valutare l’età del minore e la tipologia del servizio richiesto, al fine di stabilire se sia necessario l’intervento, eventualmente congiunto, dei genitori.

Sino alla verifica del consenso prestato dal genitore, il fornitore dei servizi in rete non tratta i dati personali del minore.

Con l’identità digitale dei minori si mira a garantire il raggiungimento dei seguenti obiettivi:

  1. a) Rilasciare SPID ai minori previa richiesta da parte di chi esercita la responsabilità genitoriale; b) Consentire al minore di utilizzare la propria identità digitale SPID autonomamente ferma restando la possibilità di controllo da parte dei genitori; c) Impedire ai minori di accedere ai servizi in rete a loro non destinati; d) Consentire la selezione dei fruitori dei servizi in rete in base all’età; e) Garantire che i dati personali del minore siano trattabili solo in presenza dello specifico consenso al trattamento da parte del titolare della responsabilità genitoriale o, qualora, ultraquattordicenne, del minore stesso.

Dall’analisi della normativa vigente emerge l’opportunità che il rilascio dell’identità digitale SPID a favore  del minore avvenga previa richiesta da parte di chi esercita la responsabilità genitoriale, ferma restando la facoltà del minore che abbia compiuto quattordici anni di esprimere autonomamente il consenso al trattamento dei propri dati in relazione all’offerta di servizi della società dell’informazione.

L’IdP che rilascia l’identità digitale al minore espone un apposito servizio accessibile dal genitore attraverso credenziali SPID dallo stesso rilasciate, che consente al genitore di gestire l’identità del minore (si pensi, ad esempio, alla possibilità di revocare l’identità).

Per ottenere l’autorizzazione del genitore all’accesso ai servizi in rete da parte del minore è prevista una notifica push da parte dell’IdP su richiesta del minore.

Il genitore, al fine di fornire le suddette autorizzazioni, accetta, al momento della richiesta dell’identità del minore, di ricevere notifiche push dall’IdP.

Tali notifiche sono inviate esclusivamente se il minore conferma all’IdP la volontà di richiedere l’autorizzazione al genitore. Nel caso in cui il minore non confermi all’IdP la volontà di richiedere l’autorizzazione al genitore, la procedura di autenticazione è interrotta.

Il genitore utilizza le proprie credenziali SPID per gestire l’identità del minore fermo restando che l’IdP non avrà la necessità di entrare nella federazione SPID in qualità di SP in quanto il genitore, per gestire l’identità del minore, utilizza un’identità digitale rilasciata dal medesimo IdP presso il quale il minore ottiene la propria identità digitale.

L’IdP predispone un servizio per consentire al genitore di chiedere il rilascio dell’identità digitale per il minore. Tale servizio, accessibile con credenziali SPID di livello 2, prevede l’inserimento dei dati identificativi del minore (nome, cognome, codice fiscale, data di nascita).