La delega ( o come l’ho sempre chiamata “impersonificazione” ) è sicuramente una funzionalità utile ma molto delicata ai fini della privacy / GDPR.
Pongo degli spunti di riflessione:
- non avrebbe più senso parlare di delega in base al servizio? Altrimenti sarebbe una delega in bianco e sotto il profilo giuridico ( a meno che tu non sia il tutore di quella persona) ci vedo molti problemi.
- data la riflessione fatta sopra, non avrebbe più senso che questa funzionalità venga gestita dai vari servizi invece che da dall’IDP? Ovvio ogni servizio potrebbe gestire la delega in modo diverso ma sicuramente nel servizio potrei definire delle regole a grana molto più fine ( es. solo lettura, solamente alcuni dati ecc ecc )
- a conferma del punto precedente è l’argomento minori, ossia esso deve essere indirizzato dall’applicativo e non dal sistema di autenticazione, ad es. quando devi registrare un figlio a scuola, fai login con SPID e registri tuo figlio ( in qualità di genitore).
Quindi la funzionalità di cambio medico di base dovrebbe riconoscere che hai 1-2-3-… figli a carico e darti la possibilità di cambiare anche il loro medico di base.
Comunque sia, discussione interessante.