In data giovedì 4 agosto 2016 14:10:32, SASSANO ANNA PIA ha scritto:
Gentile dr. Ciurcina
provo a rispondere alle sue domande:
“Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione?”
http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzion e_sp_privati.pdf
La convenzione che Lei cita riguarda le regole a cui devono attenersi i Service Provider Privati Spid, e non ha quindi nulla a che vedere né con Poste come ID Provider Spid né con le regole a cui Poste si attiene per l’erogazione diretta dei propri servizi.
Grazie mille per la risposta. Le suggerisco di suggerire a Poste Italiane di separare l'offerta del servizio di "gestore dell'identità digitale" ai sensi dell'art. 1, comma 1, lett. l), del DPCM 24.10.2014 dall'offerta del servizio di identificazione che consente all'utente di accedere ai servizi di Poste Italiane. IMHO in futuro il Garante della Privacy potrebbe imporre (e spero imponga) di non offrire in bundling il servizio di "gestore dell'identità digitale" con altri servizi (e le connesse espressioni di consenso al trattamento dei dati personali), anche alla luce dell'art. 7, comma 4, del Regolamento 2016/679. In ogni caso, credo Poste Italiane concordi sull'opportunità di sottrarre argomenti a quanti vogliano ipotizzare che Poste Italiane fornisce il servizio pubblico "SPID" per acquisire più ampi margini d'azione nel corpo digitale dei cittadini italiani. Cordiali saluti, m.c.
Se Poste Italiane dovesse in futuro sottoscrivere la convenzione Spid, al momento in cui il cliente accedesse ad uno dei suoi servizi usando il processo di autenticazione Spid di certo dovrebbe attenersi a quanto disposto dall’articolo 6 della Convenzione per il trattamento dei dati ricevuti dall’ID Provider.
“Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no?
Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy”
https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf
Si applica ai soli dati necessari all’espletamento del servizio che il Service Provider chiede e riceve, su autorizzazione del titolare dell’identità, da un ID Provider durante un processo di autenticazione Spid. Tutto questo non ha nulla a che vedere con il testo della privacy che viene esposto sul sito di Poste e che riguarda il trattamento dei dati per i servizi erogati da Poste.
Cordiali Saluti
Anna Pia Sassano
Da: Marco Ciurcina [mailto:ciurcina@studiolegale.it] Inviato: martedì 2 agosto 2016 11:39 A: SASSANO ANNA PIA (ADPA) Cc: Stefano Quintarelli; nexa@server-nexa.polito.it Oggetto: Re: R: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico
In data lunedì 1 agosto 2016 16:45:54, SASSANO ANNA PIA ha scritto:
PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID.
Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider.
Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla:
* per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile