On 04/02/2016 14:59, Stefano Quintarelli wrote:
non mi pare che considerai che un utente puo' avere tutti gli identity provider che vuole ed usarli in modo intercambiabile. Vero, sicuramente. Diciamo che a me fa piacere che ce ne sia uno con regole e supervisione pubblica, ma certamente si potrebbe fare di più per garantire che questo sistema sia un equivalente digitale dell'anagrafe, anziché yet another identity provider sostanzialmente privato. Non sono abbastanza ferrato per scendere nei dettagli. Da cittadino, mi pare solo che una versione (debole) di autenticazione nazionale con user e password (che poi posso rafforzare con smart card ed altro) sia oltremodo necessaria. L'idea di aprirne l'uso anche ai privati, di per sé, mi pare buona. Che i provider siano privati, forse, è una parte non necessariamente altrettanto saggia, salvo essere molto rigorosi nelle regole (e, v. sotto, forse non lo siamo abbastanza, per ora). Poi, resto volentieri in ascolto di approfondimenti da chi ne sa più di me, e sicuramente tu sei tra quelli, come altri in lista il cui aiuto nel farmi un'opinione sullo SPID apprezzerei molto :-) e non ho colto il passaggio in cui dice che gli identity provider non possono fare attivita' di raccolta dati e profilazione degli utenti... (lo dice ?)
;-) No, non mi pare che lo dica... il Regolamento SPID per l'accreditamento dei gestori sembra implicare l'opposto, a pensar male, quando richiede una "relazione che descrive i trattamenti di dati personali effettuati riportandone le informazioni essenziali e le misure messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati, nonché di correttezza nel trattamento e all’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica".
O, meglio, se davvero i principi fossero implementati a dovere, quanto sopra potrebbe anche bastare: per garantire la tua identità non sono certo tenuto a profilarti, per cui farlo non sarebbe un trattamento necessario, pertinente o coerente con la minimizzazione dei dati... però temo proprio che il tutto non sia interpretato in modo così stringente. Federico