Esigenza, scopo e caratteristiche delle Linee guida¶

SPID è uno strumento che può essere utilizzato anche per proteggere i minori, in quanto consente sia l’accesso ai servizi in rete in modalità anonima sia la selezione dei relativi fruitori in base all’età.

Le presenti Linee guida operative hanno ad oggetto il rilascio dell’identità digitale ai minori e le relative modalità di utilizzo per l’accesso ai servizi online. Non sono emesse ai sensi dell’art. 71 del D. Lgs. 82/2005 (di seguito CAD) e definiscono, nel rispetto della normativa in materia e delle vigenti Linee guida di primario riferimento in ambito SPID, le modalità operative che i gestori dell’identità digitale e i fornitori di servizi online dovranno porre in essere al fine di poter consentire ai minori la fruizione, in piena sicurezza, di servizi in rete.

I gestori delle identità SPID e i fornitori di servizi, che intendono rispettivamente rilasciare o utilizzare l’identità digitale dei minori, si attengono alle presenti Linee guida.

Quadro normativo e considerazioni a carattere generale¶

Dall’analisi della normativa in materia di identità digitale non è emerso alcun elemento ostativo al rilascio di SPID ai minori.

Con particolare riferimento alla normativa vigente in tema di protezione dei dati personali, è essenziale rapportare le presenti Linee guida operative in primis al Regolamento (UE) 2016/679 recante il Regolamento Generale sulla Protezione dei Dati (di seguito RGPD).

Il Considerando 38 del RGPD stabilisce quanto segue:

«I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore».

L’articolo 8 del medesimo Regolamento, con riferimento al trattamento dei dati personali del minore in relazione ai servizi della società dell’informazione, chiarisce che il trattamento effettuato sulla base del consenso del minore è lecito

«[…] ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

1. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. […]».

Il legislatore italiano, mediante il decreto legislativo 10 agosto 2018, n. 101, ha introdotto nel decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali» l’articolo 2-quinquies rubricato «Consenso del minore in relazione ai servizi della società dell’informazione». In virtù di tale disposizione

«[…] il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

1. In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.»

Il primo comma dell’articolo 320 del codice civile dispone che

«I genitori congiuntamente, o quello che esercita in via esclusiva la responsabilità genitoriale, rappresentano i figli nati e nascituri, fino alla maggiore età o all’emancipazione, in tutti gli atti civili e ne amministrano i beni. Gli atti di ordinaria amministrazione, esclusi i contratti con i quali si concedono o si acquistano diritti personali di godimento, possono essere compiuti disgiuntamente da ciascun genitore.

Si applicano, in caso di disaccordo o di esercizio difforme dalle decisioni concordate, le disposizioni dell’articolo 316. […]».

Ai sensi dell’articolo 1425 del codice civile, il contratto concluso da un minore, privo in quanto tale – almeno ordinariamente - della capacità di agire, è annullabile fatta salva l’ipotesi in cui, ex articolo 1426 del codice civile, il minore abbia occultato, con raggiri, la propria età.

In considerazione di quanto sopra e, più in generale, della normativa vigente con riferimento alla sfera giuridica del minore, per l’accesso ai servizi in rete da parte del minore occorre valutare l’età del minore e la tipologia del servizio richiesto, al fine di stabilire se sia necessario l’intervento, eventualmente congiunto, dei genitori.

Sino alla verifica del consenso prestato dal genitore, il fornitore dei servizi in rete non tratta i dati personali del minore.

Obiettivi¶

Con l’identità digitale dei minori si mira a garantire il raggiungimento dei seguenti obiettivi:

1. Rilasciare SPID ai minori previa richiesta da parte di chi esercita la responsabilità genitoriale;
2. Consentire al minore di utilizzare la propria identità digitale SPID autonomamente ferma restando la possibilità di controllo da parte dei genitori;
3. Impedire ai minori di accedere ai servizi in rete a loro non destinati;
4. Consentire la selezione dei fruitori dei servizi in rete in base all’età;
5. Garantire che i dati personali del minore siano trattabili solo in presenza dello specifico consenso al trattamento da parte del titolare della responsabilità genitoriale o, qualora, ultraquattordicenne, del minore stesso.

Acronimi e definizioni¶

Ai fini della presente Linea guida, si intende per:

Genitore

il soggetto che dichiara di esercitare la responsabilità genitoriale per la richiesta dell’identità del minore;

Genitore non richiedente

altro soggetto che esercita la responsabilità genitoriale e che fornisce il consenso per la gestione dell’identità digitale del minore da parte del genitore;

IdP

il gestore dell’identità digitale SPID che rilascia, conformemente alle presenti Linee guida, l’identità digitale SPID al minore;

SP

il fornitore di servizi accessibili con SPID;

Notifica push

messaggio istantaneo che, su richiesta del minore, l’IdP invia al genitore.

Rilascio di SPID ai minori¶

Dall’analisi della normativa vigente emerge l’opportunità che il rilascio dell’identità digitale SPID a favore del minore avvenga previa richiesta da parte di chi esercita la responsabilità genitoriale, ferma restando la facoltà del minore che abbia compiuto quattordici anni di esprimere autonomamente il consenso al trattamento dei propri dati in relazione all’offerta di servizi della società dell’informazione.

L’IdP che rilascia l’identità digitale al minore espone un apposito servizio accessibile dal genitore attraverso credenziali SPID dallo stesso rilasciate, che consente al genitore di gestire l’identità del minore (si pensi, ad esempio, alla possibilità di revocare l’identità).

Per ottenere l’autorizzazione del genitore all’accesso ai servizi in rete da parte del minore è prevista una notifica push da parte dell’IdP su richiesta del minore.

Il genitore, al fine di fornire le suddette autorizzazioni, accetta, al momento della richiesta dell’identità del minore, di ricevere notifiche push dall’IdP.

Tali notifiche sono inviate esclusivamente se il minore conferma all’IdP la volontà di richiedere l’autorizzazione al genitore. Nel caso in cui il minore non confermi all’IdP la volontà di richiedere l’autorizzazione al genitore, la procedura di autenticazione è interrotta.

Il genitore utilizza le proprie credenziali SPID per gestire l’identità del minore fermo restando che l’IdP non avrà la necessità di entrare nella federazione SPID in qualità di SP in quanto il genitore, per gestire l’identità del minore, utilizza un’identità digitale rilasciata dal medesimo IdP presso il quale il minore ottiene la propria identità digitale.

L’IdP predispone un servizio per consentire al genitore di chiedere il rilascio dell’identità digitale per il minore. Tale servizio, accessibile con credenziali SPID di livello 2, prevede l’inserimento dei dati identificativi del minore (nome, cognome, codice fiscale, data di nascita).

Se il minore non presenta all’IdP un documento di identità (o il permesso di soggiorno) in cui è riportato il nominativo del genitore, il genitore dichiara, ai sensi dell’art. 46 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, la sua qualità rispetto al minore con le modalità indicate dall’IdP.

Il genitore fornisce il consenso al trattamento dei dati personali per il rilascio e la gestione dell’identità digitale del minore nonché la delega dell’eventuale genitore non richiedente alla gestione dell’identità del minore da parte del genitore.

L’IdP genera, conseguentemente, un codice casuale di tre numeri in notazione decimale (seriale minore) che, associato al codice del genitore, è univoco nell’ambito di ogni IdP e costituisce il codice di verifica assegnato al minore.

In particolare, il codice del genitore è composto dal risultato della funzione CRC-32 applicato al codice fiscale del genitore (Ad esempio: RSSMTT64A01G201K, produce il CRC 0x4DFCE69E, il codice del genitore sarà 4DFCE69E. Ipotizzando che il codice casuale sia 737, il codice di verifica sarà 4DFCE69E737).

L’IdP associa ai dati del genitore il codice di verifica per il quale è stato fornito il consenso al rilascio dell’identità e i dati identificativi del minore forniti dal genitore. L’IdP consegna al genitore il codice di verifica affinché lo stesso sia messo a disposizione del minore che lo utilizza per effettuare il processo di rilascio dell’identità digitale, previa verifica dell’identità personale e acquisizione del consenso al trattamento dei dati personali anche da parte del minore che ha compiuto almeno quattordici anni.

Il minore, ricevuto il codice di verifica dal proprio genitore, utilizza le procedure di verifica dell’identità personale messe a disposizione dall’IdP per completare la procedura di rilascio dell’identità. L’IdP, per verificare l’esistenza dell’autorizzazione preventiva, richiede al minore il codice di verifica in modo da poter verificare la presenza del consenso genitoriale prima di acquisire i dati personali del minore. L’IdP verifica, quindi, la corrispondenza dell’identità del minore con i dati precedentemente forniti dal genitore, verificando implicitamente l’esistenza dell’autorizzazione del genitore al rilascio dell’identità per quello specifico minore.

L’IdP, inoltre, se il minore ha compiuto almeno quattordici anni, acquisisce anche da quest’ultimo il consenso al trattamento dei dati personali per il rilascio e la gestione dell’identità digitale.

L’IdP, rilasciata l’identità, invia una e-mail informativa al genitore recante l’indicazione del nome del minore.

Per ottenere l’autorizzazione del genitore all’accesso ai servizi in rete da parte del minore, è prevista una notifica push da parte dell’IdP al genitore, su richiesta del minore.

Quando il minore tenta di accedere a un servizio della società dell’informazione, l’IdP, se ha già ottenuto l’autorizzazione all’accesso da parte del genitore, autentica il minore. Nel caso in cui l’autorizzazione non sia presente, invia al genitore una notifica push contenente:

• il nome del minore,
• il nome del SP cui il minore ha tentato di accedere,
• la data e l’ora del tentativo di accesso e i dati personali richiesti dal SP.

Il genitore può autorizzare l’accesso allo specifico servizio indicando la durata dell’autorizzazione che, in ogni caso, non potrà essere superiore a un anno.

Almeno dieci giorni prima della scadenza di ogni autorizzazione, il genitore riceve dall’IdP una notifica push per l’eventuale rinnovo dell’autorizzazione.

Il genitore utilizza le proprie credenziali SPID per gestire l’identità del minore, fermo restando che l’IdP non avrà la necessità di entrare nella federazione SPID in qualità di SP in quanto il genitore, per gestire l’identità del minore, utilizza un’identità digitale rilasciata dal medesimo IdP presso il quale il minore ottiene la propria identità digitale.

L’IdP mette a disposizione del genitore una funzionalità che gli consente di avere evidenza delle identità digitali destinate ai minori e oggetto della sua autorizzazione al rilascio. Tale funzionalità, inoltre, consente al genitore di visualizzare tutti i SP presso i quali ha autorizzato l’accesso del figlio con possibilità di revoca delle singole autorizzazioni e, ove necessario, della stessa identità digitale del minore.

Fruibilità dei servizi dedicati ai minori¶

Al fine di consentire l’accesso a un servizio, l’IdP deve aver ottenuto per i soggetti minori di anni 14 il consenso preventivo da parte del genitore che, ai sensi dell’articolo 320 del codice civile, può compiere disgiuntamente dall’altro genitore gli atti di ordinaria amministrazione. I soggetti maggiori di anni 14 possono esprimere direttamente il consenso al trattamento dei propri dati personali.

Limitazione dell’accesso ai servizi in rete¶

Per impedire l’accesso a un servizio della società dell’informazione non destinato ai minori o non conforme all’età prevista, evitando che il SP riceva dati personali del minore, è necessario che la verifica sia effettuata dall’IdP e non dal SP.

A tale scopo è possibile utilizzare le estensioni SAML che seguono negli esempi all’interno dell”authRequest.

Alcuni esempi:

1. Per indicare che il servizio è riservato a chi ha 17 anni

   <samlp:Extensions>
     <spid:AgeLimit>
       <spid:MinAge>17</spid:MinAge>
       <spid:MaxAge>17</spid:MaxAge>
     </spid:AgeLimit>
   </samlp:Extensions>
   

2. Per indicare che il servizio è riservato a chi ha compiuto quattordici anni e non ne ha ancora compiuti 18:

   <samlp:Extensions>
     <spid:AgeLimit>
       <spid:MinAge>14</spid:MinAge>
       <spid:MaxAge>17</spid:MaxAge>
     </spid:AgeLimit>
   </samlp:Extensions>
   

Il valore «99» in MaxAge indica l’assenza di un limite superiore.

In questo modo, gli IdP che rilasciano identità digitali ai minorenni, ricevono le informazioni necessarie per limitare l’accesso a una età o ad una specifica fascia d’età.

L’IdP, previa autenticazione, effettua quindi la verifica di congruenza (età effettiva/età richiesta) e stabilisce se portare a termine con successo il processo di autenticazione. Nel caso in cui l’età del soggetto non sia congrua con la richiesta pervenuta dall’SP, l’IdP informa l’utente con il messaggio

«Spiacente %Nome%, ma non hai l’età richiesta da %SP% per accedere al servizio»

dove «%Nome%» è il nome proprio del soggetto autenticato e «%SP%» è l’indicazione del SP o del servizio a cui si sta tentando di accedere.

L’identità al sopraggiungere della maggiore età¶

Al compimento del diciottesimo anno di età, l’IdP invia un messaggio al neo maggiorenne mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale. Nel caso in cui il neo maggiorenne non chieda la revoca, l’identità digitale resta attiva e sono eliminati i legami con l’identità del genitore e qualsiasi altra limitazione.

Tutte le informazioni relative all’utilizzo dell’identità digitale del minore, rese disponibili a chi esercita la responsabilità genitoriale, sono cancellate al raggiungimento della maggiore età.

Considerazioni finali¶

Le presenti Linee guida operative sono specificamente orientate all’applicazione in concreto dei principi fondanti la protezione dei dati personali di cui all’art. 5, paragrafo 1 del RGPD, specialmente tenuto conto della centralità della figura del minore nel delicato contesto in esame.

In particolare, il meccanismo individuato per il rilascio dell’identità digitale del minore è fondato sui principi di liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione rispetto alle finalità individuate; esattezza e aggiornamento dei dati; limitazione della conservazione; integrità e riservatezza, nel rispetto del principio di responsabilizzazione posto in capo all’IdP in qualità di titolare del trattamento.

Il codice di verifica viene comunicato al genitore del minore da parte dell’IdP a seguito dell’identificazione e registrazione per l’ottenimento dell’identità SPID.

Il codice di verifica viene comunicato dal genitore al figlio minore per ultimare il processo di rilascio della propria identità digitale.

A seguito dell’autenticazione, il SP riceve i dati personali del minore avendo la certezza dell’esistenza del consenso del genitore o del minore stesso, se questi ha compiuto almeno quattordici anni.

Il sistema SPID non preclude l’accesso a servizi online in modalità anonima. La soluzione delineata consente agli SP di rendere disponibili servizi dedicati a specifiche fasce d’età garantendo, nel contempo, di non ricevere alcun dato personale. A tal fine, per l’accesso a un servizio della società dell’informazione un SP può richiedere esclusivamente l’attributo che attesta la data di nascita.