Gentile professor Pizzetti
ho letto nella precedente e.mail dei dubbi sull’uso che Poste farebbe dei dati acquisiti quando si accede con un’autenticazione SPID ad un servizio WIFI usando PosteID e forse posso dare una mano a fare chiarezza:
a)
come noto l’identità PosteID è già da tempo usata dai servizi di Poste Italiane per accedere al sito o autorizzare transazioni finanziarie e solo di recente è stata anche aperta al circuito SPID. In sintesi: chi prende l’identità PosteID
non solo può usarla per i servizi di Poste ma può anche utilizzarla per accedere ai servizi che hanno aderito al circuito SPID e quindi espongono il bottone “Entra con Spid” o simili;
b)
durante la registrazione della nuova versione dell’identità digitale PosteID, che come noto è stata oggetto di verifica in ambito AGID per l’accreditamento, viene chiesto al cliente se, per i soli servizi di Poste Italiane, vuole rilasciare
le autorizzazioni all’utilizzo dei dati ai fini di contatto commerciale da parte di Poste o di profilazione, sempre da parte di Poste, in quanto clienti. Se entrate nel processo di registrazione questa fase di autorizzazione è anche accessibile da tutte le
pagine andando a leggere l’informativa privacy. Vi riporto di seguito solo la prima frase:
“Informativa sul trattamento dei dati personali ai sensi dell’art. 13 del D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali) – Persona Fisica o soggetto assimilabile - Servizio PosteID”
“[…] Poste tratterà i dati personali dell’Interessato conformemente al consenso da questi prestato, per le finalità suindicate. Con riferimento alla finalità di “profilazione”, l’Interessato prende atto che in caso di consenso, il trattamento
dei Suoi dati personali non riguarderà né la fase di registrazione al Servizio PosteID né l’utilizzo dei servizi erogati online dai “Fornitori di servizi” tramite il Servizio PosteID, ma potrà riguardare – a meno di specifiche richieste delle Autorità competenti
inerenti, per esempio, la rilevazione di dati in forma aggregata per fini statistici – la funzione delle altre tipologie di prodotti/servizi di Poste Italiane eventualmente in essere. In caso di cessazione del Servizio PosteID ma di vigenza di almeno un prodotto
e/o servizio principale con Poste Italiane, i dati dell’Interessato concernenti tale prodotto/servizio continueranno ad essere trattati da Poste nel rispetto del consenso da questi prestato. In caso di cessazione dell’unico e/o ultimo prodotto e/o servizio
principale, così come degli annessi prodotti e/o servizi opzionali aggiuntivi1, i dati dell’Interessato non saranno più trattati da Poste per le finalità suindicate. […]”
c)
quindi non solo Poste chiede un consenso “specifico, libero, espresso ed informato” come prevede il codice privacy ma non cede i dati a terzi. L’unica cosa che esplicitamente è prevista, sempre chiedendo il consenso privacy, è
la possibilità di “comunicare i dati di profilazione alle società del Gruppo Poste Italiane”.
d)
mi sento quindi di tranquillizzarvi che nulla può accadere senza che il cliente lo consenta ed anche ove dia tutti i consensi sul fronte dei servizi di Poste bisogna ricordare cos’è l’identità digitale SPID. E’ l’Identity Provider che
semmai, su autorizzazione esplicita del cliente, fornisce al Service Provider SPID (colui che gestisce il servizio di WI FI in questo esempio) i dati del titolare dell’identità che servono ad espletare il servizio. Il viceversa non esiste in natura
visto che all’Identity Provider, una volta forniti i dati ed autenticato l’accesso al servizio come prevede il servizio di autenticazione Spid, nulla perviene di quanto transita poi tra cliente e fornitore.
Se Vi fa piacere ed avete altre perplessità su SPID e PosteID, che possono aiutare anche noi a contribuire a fare maggiore chiarezza, sono chiaramente a Vostra disposizione.
Cordiali Saluti
Anna Pia Sassano (in questo caso e su questo canale, Vi rispondo chiaramente a titolo personale ma pronta a procurarvi una risposta ufficiale di Poste se vi occorre).