Di recente, l'Agenzia spagnola per la protezione dei dati (AEPD) ha emesso una risoluzione sanzionatoria nei confronti del governo regionale di Castilla-La Mancha (exp. EXP202406805) che riporta l'attenzione su una problematica ricorrente: È corretto che la carta d'identità dei dipendenti pubblici compaia nelle firme elettroniche e nei documenti firmati?
Di seguito, illustriamo gli aspetti legali e l'impatto pratico di questa risoluzione, nonché la situazione attuale dei certificati digitali come T-CAT.
Cosa ha risolto l'AEPD?
La risoluzione analizza se è conforme al GDPR che, nei documenti firmati elettronicamente dai funzionari pubblici, dati quali il nome, cognome e documento d'identità del firmatario, accessibile a terzi.
Secondo l'AEPD:
- Il DNI è un dato grande chiarezzapoiché consente l'identificazione diretta e inequivocabile di una persona e comporta rischi elevati come il furto d'identità.
- La sua inclusione nelle firme o nei segni visibili può rappresentare un elaborazione eccessiva dei dati.
Sono potenzialmente violate:
- el principio di minimizzazione dei dati (art. 5.1.c GDPR)
- e l'inizio di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR)
Per questo motivo, l'AEPD conclude che sarebbe necessario Evitare di includere il DNI (Documento di Identificazione del Nome) tra le informazioni visibili dei documenti firmati., optando per meccanismi di identificazione meno invasivi.
Non si tratta di un dibattito nuovo.
L'AEPD si era già espressa in termini analoghi nel Rapporto 0088/2020, in cui affermava che:
- Il DNI non è un dato che deve essere incluso negli atti amministrativi.
- Non deve comparire nella firma elettronica né nei certificati.
Sarebbe necessario adattare la normativa e promuovere alternative quali:
- informazioni sulla posizione o sull'unità
- o persino pseudonimi in alcuni casi
In altre parole, la stessa AEPD sottolinea che la soluzione risiede in una modifica normativa del sistema di certificazione digitale.
Cosa è successo in questo caso specifico?
Nel caso della Castiglia-La Mancia, l'AEPD dichiara un'infrazione, ma non impone una sanzione (essendo un'amministrazione pubblica).
Richiede invece:
- rimuovere la carta d'identità dal proprietà visibili durante la verifica dei documenti
- adattare i sistemi per conformarsi al principio di minimizzazione
- accreditare le misure adottate entro un periodo di 6 mesi
Qual è il problema di fondo?
Ecco il punto chiave: Esiste un conflitto tra le normative sulla protezione dei dati e le normative sulla certificazione digitale..
- La legge 6/2020, dell'11 novembre 2020, che disciplina alcuni aspetti dei servizi fiduciari elettronici, obbliga i fornitori di servizi fiduciari a includere il DNI nei certificati digitali.
- Inoltre, i profili dei certificati dell'Amministrazione generale dello Stato richiedono che il DNI compaia in diversi campi del certificato (come ad esempio Nome comune)
- Questi dati sono una parte strutturale del certificato e sono necessari per il suo validazione e interoperabilità
Per questo motivo, istituti di credito come l'AOC non può essere modificato unilateralmente il contenuto dei certificati senza violare le normative vigenti. La stessa AEPD ammette che la soluzione richiede un emendamento legislativonon si tratta di una decisione tecnica da parte degli istituti di credito.
E i certificati con pseudonimo?
Sebbene i regolamenti prevedano certificati con identificativi professionali o pseudonimi, questi:
- può essere rilasciato solo in casi molto specifici (sicurezza pubblica, informazioni riservate, ecc.)
- non sono generalmente applicabili a tutti i dipendenti pubblici
Quali soluzioni pratiche hanno a disposizione le amministrazioni pubbliche?
Fino a quando i regolamenti non saranno modificati, le amministrazioni possono applicare misure per ridurre la visibilità della carta d'identità:
1. Non mostrare il documento d'identità nell'immagine della firma
I programmi di firma consentono di configurare quali dati vengono visualizzati. Questo non rimuove l'ID dal certificatoma impedisce che appaia visibile nel documento. Vedi come evitare l'ID dell'immagine della firma
2. Generare copie elettroniche autentiche
Permettono:
- nascondere l'ID sia nell'immagine che nelle proprietà visibili
- sostituirlo con i dati minimi del firmatario
Queste copie hanno validità legale se accompagnate dal sigillo dell'organizzazione. Scopri come generare un còpia autentico e nascondi l'ID dall'immagine e dalle proprietà visibili:
3. Utilizzare altri meccanismi
Ad esempio, sigilli elettronici e codici di verifica sicuri (CSV)
Conclusioni
- L'AEPD ritiene che l'indicazione del DNI (Documento Nazionale Identificativo) nei documenti firmati possa violare il GDPR.
- Normativa vigente in materia di certificazione richiede di includerlo, generando un conflitto normativo.
- Fornitori di servizi affidabili come AOC Non possono rimuovere il DNI dai certificati.
- La soluzione definitiva è attraverso un riforma normativa statale ed europea.
- Nel frattempo, le amministrazioni devono attuare misure per minimizzazione nella visualizzazione e nell'accesso ai dati.
