Il documento predisposto dal SP per il processo di firma rispetta le specifiche PDF versione 1.7 o successive, profilo PDF/A-2a, secondo lo standard ISO/IEC 32000-1.
Continua a leggere su Docs Italia.
In merito alla disposizione del paragrafo 4.1 del seguente punto 3:
“3. né il contenuto del documento né i suoi metadati sono cifrati.”
siete consapevoli che inserendo questa disposizione non potranno essere gestiti in modalità informatica e sottoscritti con Firma SPID tutti i documenti informatici che presentano dati sensibili e giudiziari ? Non sono pochi. Un contratto di assunzione ad esempio può riportare ad esempio dati su disabilità o su iscrizione ai sindacati ecc.
Il Regolamento GDPR ed altre disposizioni richiedono proprio la cifratura dei documenti informatici e l’oscuramento in presenza di dati sensibili o giudiziari.
L’Italia è piena di documenti con contenuto sensibile-giudiziario gestiti digitalmente in chiaro! AgID dovrebbe essere l’organo che vigila insieme al Garante Privacy sul soddisfacimento della norma applicandola ai processi di digitalizzazione e ai QTSP.
Se decidete di mantenere tale disposizione che esclude la possibilità di cifratura, almeno aggiungete che, non essendo ammessa la cifratura, il contenuto dei documenti e i valori dei metadati devono soddisfare le disposizioni del Regolamento GDPR.
Grazie dell’attenzione
Cifratura o altri strumenti di sicurezza non possono essere applicati dopo la firma?
Credo che applicare funzioni di alterazione del contenuto binario prima della firma porti a una complicazione non da poco per l’individuazione dell’effettivo contenuto del documento.
Grazie gent.mo Francesco per l’utile precisazione.
In linea di principio sono assolutamente d’accordo con il commento, gli strumenti di anonimizzazione possono sicuramente essere applicati dopo la firma SPID, anzi è il processo corretto.
La mia preoccupazione è che inserendo quella disposizione nel paragrafo sul Formato delle Linee Guida, si dia una sorta di appiglio/autorizzazione agli IdP a conservare il documento in chiaro, nel momento in cui il SP ha aderito facoltativamente al relativo servizio di conservazione. L’IdP memorizza il documento nel formato PDF/A in chiaro e lo conserva.
A mio avviso dovrebbero formulare meglio la disposizione indicando che eventuale tecniche di cifratura per oscurare i dati del documento o i metadati ai fini della conformità al regoamenrto GDPR (ad esempio per la presenza di dati sensibili e/o giudiziari) vanno applicate su responsabilità del Titolare del trattamento dopo il completamento del processo di formazione del documento informatico con Firma SPID.
Grazie