L’Agenzia per l’Italia digitale ha trasmesso al Garante, al fine di ottenerne il parere, lo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”. Il Garante per la protezione dei dati personali ha, quindi, individuato le garanzie per l’utilizzo dei servizi: i ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti; i più piccoli potranno utilizzarlo solo per i servizi online forniti dalle scuole.
È vero che la normativa vigente consente la creazione dell’identità digitale in favore di tutti i cittadini, senza prevedere alcun limite minimo di età. Tuttavia, il Garante ha osservato come sia necessario “verificare con particolare rigore il rispetto dei principi di proporzionalità, liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e privacy by design e by default, in considerazione di rischi elevati che presentano i trattamenti relativi sia all’attribuzione di un’identità digitale SPID ai minori, che al suo utilizzo per l’accesso ai servizi in rete”.
Per queste ragioni, da un lato occorre che i c.d. identity provider verifichino accuratamente l’identità del genitore, i dati da raccogliere e il tipo di servizio richiesto; dall’altro, si richiede di operare una distinzione tra gli ultra-quattordicenni e gli infra-quattordicenni, in ragione del diverso grado di maturità e consapevolezza.
Per gli infra-quattordicenni “si rappresenta la necessità di escludere tale categoria di minori…dall’applicazione delle linee guida in esame, che li espongono a rischi elevati non mitigabili con le misure ivi indicate”. Tuttavia, consapevole del ruolo strategico che assume l’identità digitale nel percorso di digitalizzazione del Paese, il Garante ha ritenuto ammissibile, limitatamente al settore della scuola, l’introduzione di SPID per tale categoria di minori, fino al 30 giugno 2023, per l’utilizzo di servizi online esclusivamente forniti dalle scuole a cui gli stessi possono autonomamente accedere (a titolo esemplificativo, il registro elettronico) con l’esclusione del rilascio per la fascia d’età 0-4 anni. Resta fermo che non possono essere pregiudicati gli studenti che non siano ancora in possesso di Spid. Al termine della sperimentazione, che coinvolgerà anche il Ministero dell’istruzione, dovrà essere valutata l’adeguatezza delle misure adottate.
Occorre che siano individuate adeguate garanzie in un’apposita sezione dello schema di linee guida dell’AgiD, sulla base di un’adeguata valutazione di impatto che tenga conto dei rischi elevati che presenta il trattamento, anche con il coinvolgimento del Ministero dell’istruzione
In ogni caso, al compimento della maggiore età, l’interessato dovrà poter manifestare espressamente la propria volontà di mantenere o revocare la propria identità digitale SPID, e, in assenza di una sua manifestazione di volontà entro un congruo lasso temporale, l’identità dovrà essere sospesa e, in seguito, revocata.
Inoltre, l’informativa rivolta ai minori dovrà avere un linguaggio semplice e chiaro; al compimento della maggiore età, l’interessato dovrà espressamente scegliere se mantenere o revocare la propria identità digitale, anche con modalità diverse da SPID.
L’AgID dovrà trasmettere al Garante Privacy una relazione sull’utilizzo di SPID per i minori, indicando i servizi offerti, il numero di identità rilasciate, le eventuali criticità rilevate e le misure individuate per porvi rimedio.
Avv. Marta Cogode