Gli IdP possono offrire ai firmatari servizi aggiuntivi di conservazione dei documenti firmati con SPID resi accessibili all’utente attraverso apposito servizio.
Continua a leggere su Docs Italia.
In riferimento alla seguente disposizione:
“L’IdP è titolare del trattamento per finalità diverse da quelle del servizio di sottoscrizione ex art. 20. L’utente è chiaramente informato che i dati personali oggetto del servizio e i documenti firmati con SPID sono ulteriormente trattati dall’IdP.”
Vi consiglio di indicare che non è ammesso il trattamento di dati sensibili e giudiziari contenuti nei documenti informatici sottoscritti con Firma SPID.
Altrimenti il modello da voi ipotizzato in cui l’IdP è Titolare del Trattamento su documenti che contengono dati di persone fisiche anche sensibili-giudiziari senza la possibilità di oscurarli a mio avviso regge poco.
Esempio: la piattaforma NoiPA decide di utilizzare la firma SPID per far sottoscrivere ai dipendenti PA contratti e pratiche di assunzione, che in vari casi possono contenere dati sensibili e giudiziari del dipendente quale ad esempio la disabilità. Se NoiPA richiede all’IdP di conservare in modalità questi documenti, che fa l’IdP si ritrova Titolare del Trattamento dei dati senza la possibilità di cifrare e potendo accedere al contenuto dei documenti in chiaro?
Grazie per l’attenzione
L’eventuale offerta di servizi di conservazione da parte dell’IdP (ma perché non dal SP?) non dovrebbe essere menzionata se nn per indicare che questa dev essere regolata da apposite convenzioni e nel rispetto della normativa specifica e il servizio deve essere separato da quello che gestisce il processo di firma SPID in quanto ognuno ha regole proprie in termini di memorizzazione, eventuale cifratura, manuali (conservazione, operativo, sicurezza) ecc