Problemi di privacy con il nuovo sistema di identificazione?
http://www.forumpa.it/pa-digitale/spid-solo-una-soluzione-per-gli-utenti-o-u... L'uso massiccio del nuovo sistema unico di identificazione per la PA, oltre a semplificare gli accessi, potrà portare a nuove, e più invasive, possibilità di profilazione Saluti a tutti Diego
On 04/02/2016 13:43, Diego Giorio wrote:
http://www.forumpa.it/pa-digitale/spid-solo-una-soluzione-per-gli-utenti-o-u...
L'uso massiccio del nuovo sistema unico di identificazione per la PA, oltre a semplificare gli accessi, potrà portare a nuove, e più invasive, possibilità di profilazione Questo potrebbe essere vero, ma in confronto ad un sistema frammentato. Consideriamo, però, che il confronto è con un sistema in cui c'è già l'aggregazione, ma quasi sempre tramite account Google o Facebook... qui, forse, ci guadagnamo, nel senso che si potrebbe passare da una stewardship privata ad una pubblica. (Ovviamente, ci sono poi gli aspetti di sicurezza informatica e simili... e lì, io temo ancora di fidarmi più di Google che della PA italiana, ma spero di sbagliare...)
My two cents, Federico
non mi pare che considerai che un utente puo' avere tutti gli identity provider che vuole ed usarli in modo intercambiabile. e non ho colto il passaggio in cui dice che gli identity provider non possono fare attivita' di raccolta dati e profilazione degli utenti... (lo dice ?) ;-) On 04/02/2016 14:30, Federico Morando wrote:
On 04/02/2016 13:43, Diego Giorio wrote:
http://www.forumpa.it/pa-digitale/spid-solo-una-soluzione-per-gli-utenti-o-u...
L'uso massiccio del nuovo sistema unico di identificazione per la PA, oltre a semplificare gli accessi, potrà portare a nuove, e più invasive, possibilità di profilazione Questo potrebbe essere vero, ma in confronto ad un sistema frammentato. Consideriamo, però, che il confronto è con un sistema in cui c'è già l'aggregazione, ma quasi sempre tramite account Google o Facebook... qui, forse, ci guadagnamo, nel senso che si potrebbe passare da una stewardship privata ad una pubblica. (Ovviamente, ci sono poi gli aspetti di sicurezza informatica e simili... e lì, io temo ancora di fidarmi più di Google che della PA italiana, ma spero di sbagliare...)
My two cents,
Federico
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Nessun virus nel messaggio. Controllato da AVG - www.avg.com <http://www.avg.com> Versione: 2016.0.7357 / Database dei virus: 4522/11552 - Data di rilascio: 04/02/2016
On 04/02/2016 14:59, Stefano Quintarelli wrote:
non mi pare che considerai che un utente puo' avere tutti gli identity provider che vuole ed usarli in modo intercambiabile. Vero, sicuramente. Diciamo che a me fa piacere che ce ne sia uno con regole e supervisione pubblica, ma certamente si potrebbe fare di più per garantire che questo sistema sia un equivalente digitale dell'anagrafe, anziché yet another identity provider sostanzialmente privato. Non sono abbastanza ferrato per scendere nei dettagli. Da cittadino, mi pare solo che una versione (debole) di autenticazione nazionale con user e password (che poi posso rafforzare con smart card ed altro) sia oltremodo necessaria. L'idea di aprirne l'uso anche ai privati, di per sé, mi pare buona. Che i provider siano privati, forse, è una parte non necessariamente altrettanto saggia, salvo essere molto rigorosi nelle regole (e, v. sotto, forse non lo siamo abbastanza, per ora). Poi, resto volentieri in ascolto di approfondimenti da chi ne sa più di me, e sicuramente tu sei tra quelli, come altri in lista il cui aiuto nel farmi un'opinione sullo SPID apprezzerei molto :-) e non ho colto il passaggio in cui dice che gli identity provider non possono fare attivita' di raccolta dati e profilazione degli utenti... (lo dice ?)
;-) No, non mi pare che lo dica... il Regolamento SPID per l'accreditamento dei gestori sembra implicare l'opposto, a pensar male, quando richiede una "relazione che descrive i trattamenti di dati personali effettuati riportandone le informazioni essenziali e le misure messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati, nonché di correttezza nel trattamento e all’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica".
O, meglio, se davvero i principi fossero implementati a dovere, quanto sopra potrebbe anche bastare: per garantire la tua identità non sono certo tenuto a profilarti, per cui farlo non sarebbe un trattamento necessario, pertinente o coerente con la minimizzazione dei dati... però temo proprio che il tutto non sia interpretato in modo così stringente. Federico
Due cose: Non mi piace la terminologia identity provider. L'identità è cosa più complessa della autenticazione e qui si parla di autenticazione. I giuristi lo giudicarono inopportuno ed adesso abbiamo quelle parole. Ma in un tuo documento di identità c'è molto di più che nel sistema di autenticazione spid. Meglio una organizzazione a rete o una centralizzata ? Cosa offre le maggiori prospettive di efficacia di implementazione, ammodernamento, arricchimento di servizi, fault tolerance, mitigazione del rischio, ec..: un solo idp pubblico (per competenza ministero interni) o molti idp privati, sorvegliati da più soggetti pubblici ? Io non ho dubbi.. Secondo:è indubbio che un idp compia un trattamento (deve darti credenziali, autenticarti, revocarle, ecc). Ti sentiresti più a tuo agio se il regolamento non stabilisse quanto sotto ? (Incluso la previsione di proporzionalità) Ciao!,s. Il 4 febbraio 2016 17:49:51 Federico Morando <federico.morando@gmail.com> ha scritto:
On 04/02/2016 14:59, Stefano Quintarelli wrote:
non mi pare che considerai che un utente puo' avere tutti gli identity provider che vuole ed usarli in modo intercambiabile. Vero, sicuramente. Diciamo che a me fa piacere che ce ne sia uno con regole e supervisione pubblica, ma certamente si potrebbe fare di più per garantire che questo sistema sia un equivalente digitale dell'anagrafe, anziché yet another identity provider sostanzialmente privato. Non sono abbastanza ferrato per scendere nei dettagli. Da cittadino, mi pare solo che una versione (debole) di autenticazione nazionale con user e password (che poi posso rafforzare con smart card ed altro) sia oltremodo necessaria. L'idea di aprirne l'uso anche ai privati, di per sé, mi pare buona. Che i provider siano privati, forse, è una parte non necessariamente altrettanto saggia, salvo essere molto rigorosi nelle regole (e, v. sotto, forse non lo siamo abbastanza, per ora). Poi, resto volentieri in ascolto di approfondimenti da chi ne sa più di me, e sicuramente tu sei tra quelli, come altri in lista il cui aiuto nel farmi un'opinione sullo SPID apprezzerei molto :-) e non ho colto il passaggio in cui dice che gli identity provider non possono fare attivita' di raccolta dati e profilazione degli utenti... (lo dice ?)
;-) No, non mi pare che lo dica... il Regolamento SPID per l'accreditamento dei gestori sembra implicare l'opposto, a pensar male, quando richiede una "relazione che descrive i trattamenti di dati personali effettuati riportandone le informazioni essenziali e le misure messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati, nonché di correttezza nel trattamento e all’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica".
O, meglio, se davvero i principi fossero implementati a dovere, quanto sopra potrebbe anche bastare: per garantire la tua identità non sono certo tenuto a profilarti, per cui farlo non sarebbe un trattamento necessario, pertinente o coerente con la minimizzazione dei dati... però temo proprio che il tutto non sia interpretato in modo così stringente.
Federico
participants (3)
-
Diego Giorio -
Federico Morando -
Stefano Quintarelli