Al via l’IT Wallet privato. Parere favorevole del Garante Privacy su due schemi di decreto della Presidenza del Consiglio dei ministri relativi al Sistema di portafoglio digitale italiano (IT-Wallet), previsti dal programma di attuazione del PNRR. L’Autorità, data la complessità dei trattamenti posti in essere e dei rischi elevati presenti, ma in spirito di collaborazione istituzionale, ha chiesto al Dipartimento per la trasformazione digitale di approntare specifiche garanzie a tutela dei diritti e delle libertà degli interessati.
Documenti in formato digitale
Il Sistema IT-Wallet, che conta già 5 milioni di utenti che hanno attivato 9 milioni di documenti, intende semplificare l’accesso ai servizi pubblici e privati, consentendo una gestione più sicura dell’identità digitale e dei documenti personali e facilitando l’interazione tra cittadini, amministrazioni pubbliche e aziende. Proprio come un portafoglio fisico, l’IT-Wallet conterrà documenti in formato digitale da esibire all’occorrenza. In futuro, il Sistema sarà progressivamente aggiornato per garantire la compatibilità con le soluzioni europee di identità digitale (EUDI Wallet).
Introdotti attestati ISEE, laurea, certificato di residenza, iscrizione liste elettorali
In questa fase di sperimentazione (qui il parere favorevole del Garante), per gli utenti che ne faranno richiesta, saranno disponibili le informazioni destinate ad attestare l’ISEE, il titolo di studio e accademico, i certificati di residenza, godimento dei diritti politici e iscrizione alle liste elettorali, la tessera sanitaria, la patente di guida e la carta europea della disabilità.
Le garanzie introdotte riguardano soprattutto l’individuazione dei ruoli dei soggetti coinvolti nei trattamenti e la definizione di misure volte ad evitare trattamenti ulteriori rispetto a quelli necessari per il funzionamento dell’IT-Wallet.
La sperimentazione riguarda i seguenti Attestati Elettronici di Interesse Pubblico sull’App IO, i cui dati per la generazione e per la gestione del ciclo di vita sono resi disponibili dalle rispettive Fonti Autentiche al Fornitore di Attestati Elettronici di Interesse Pubblico (art. 6, comma 4):
• Indicatore della situazione economica equivalente (ISEE), i cui dati sono resi disponibili dall’Istituto nazionale previdenza sociale (di seguito, INPS);
• titolo di studio conseguito e iscrizione scolastica, i cui dati sono resi disponibili dal Ministero dell’istruzione e del merito;
• titolo accademico conseguito e iscrizione all’istituzione di formazione superiore, i cui dati sono resi disponibili dal Ministero dell’università e della ricerca;
• residenza, godimento dei diritti politici, iscrizione alle liste elettorali e soglie di età, i cui dati sono resi disponibili dal Ministero dell’interno;
• Tessera sanitaria – Tessera europea di assicurazione di malattia (TS/TEAM), i cui dati sono resi disponibili dal Ministero dell’economia e delle finanze;
• patente di guida mobile, i cui dati sono resi disponibili dal Ministero delle infrastrutture e trasporti;
• carta europea della disabilità, i cui dati sono resi disponibili dall’INPS.
Chiesta relazione alla Presidenza del Consiglio al termine della sperimentazione
Il Garante, nel dare parere positivo, ricorda che sarà chiamato a esaminare le misure tecniche e organizzative adottate da un decreto del Dipartimento per la trasformazione digitale per assicurare il rispetto dei principi del GPDR e garantire un livello di sicurezza adeguato ai rischi, all’esito della valutazione d’impatto sulla protezione dei dati. L’Autorità dovrà anche essere consultata in merito al regolamento sulle procedure amministrative necessarie alla registrazione al Sistema e sul decreto relativo all’utilizzo dei cosiddetti Servizi Remunerativi, quelli forniti – a pagamento – dalle imprese.
Il Garante ha infine chiesto alla Presidenza del Consiglio dei ministri una relazione al termine del periodo di sperimentazione, che segnali, in particolare, le eventuali criticità rilevate e le misure individuate per porvi rimedio.
Il Garante ha sottolineato che sarà coinvolto nella valutazione delle misure tecniche e organizzative adottate per rispettare il GDPR e assicurare un livello di sicurezza adeguato, anche dopo la fase di sperimentazione. Inoltre, ha chiesto una relazione finale che evidenzi eventuali criticità e le soluzioni adottate. Il sistema sarà progressivamente aggiornato per garantire la piena compatibilità con il European Digital Identity Wallet (Eudi Wallet), in linea con il regolamento europeo eIDAS.
