Le presenti Linee guida operative sono specificamente orientate all’applicazione in concreto dei principi fondanti la protezione dei dati personali di cui all’art. 5, paragrafo 1 del RGPD, specialmente tenuto conto della centralità della figura del minore nel delicato contesto in esame.
Anche in questa sezione il focus sembra limitarsi nuovamente alla prestazione del consenso al trattamento dei dati personali e non all’accesso controllato a servizi e risorse online.
In 9.1 si suggerisce di inserire (ribadire) che il sistema consente di limitare l’accesso a determinati servizi e risorse a utenti di una certa fascia di età, non so come dirlo esattamente:
- impedire l’accesso di adulti (sedicenti minorenni) a servizi riservati a minorenni
oppure in altro modo.
In generale, si suggerisce di inserire qualche esempio di scenario d’uso dello SPID per minorenni.
Sembra di capire che lo SPID per minorenni non sia previsto da una norma di rango primario e che sarebbe un’implementazione del tutto volontaria.
Faccio degli esempi sparsi:
- Fortnite e co.: il gioco della EPIC credo che sia nato o comunque portata al successo su piattaforma Sony Playstation. Sony ha delle policy molto tranchante per poter accedere tramite la PlayStation a internet: essere maggiorenni. Ora, Fortnite si gioca esclusivamente online, e spopola(va) fra i 12-14enni. Sony ha interesse a verifiche stringenti sull’età degli utenti? Qualche Stato ha autorità per imporre a Sony di utilizzare un sistema federato pubblico di identità generale per autenticare l’utente?
- Smartphone: usare a pieno uno smartphone richiede di attivare un account con Google o con Apple. Anche qui le policy di registrazione prevedono una certa età. Eppure non sono rari esempi di 12enni che usano regolarmente tutti i servizi. Idem per Whatsapp e simili. Anche qui, ammesso che l’obbiettivo di SPID per minorenni sia anche questo, e’ una soluzione efficace?
- Per non parlare di siti tradizionalmente per adulti, da quelli pornografici e quelli di scommesse e gioco d’azzardo online. SPID per minorenni da solo, ammesso che il suo scopo sia anche impedire la fruizione anche involontaria di contenuto non appropriato all’età, può incidere?
Degli scenari di uso plausibili sarebbero quindi utili, per capire l’efficacia dello strumento, la sua applicabilità e la disposizione degli SP (primariamente privati, viene da pensare) a implementare l’acccesso tramite SPID ai propri servizi.
Sarebbe auspicabile che il genitore/tutore/rappresentante di un soggetto “digitalmente inabile” si presentasse al sistema con la propria identità, arricchita da attributo certificato da un soggetto deputato alla raccolta dei poteri di rappresentanza. Questo soggetto difficilmente può essere individuato nel fornitore di identità che si troverebbe a gestire processi di controllo delle dichiarazioni effettuate dall’utente che non sono proprie del ruolo. La proposta di modifica con l’inserimento del articolo 64 ter del Codice dell’amministrazione digitale, prevede una soluzione di controllo logico degli accessi basato sui poteri di rappresentanza tramite la realizzazione di un sistema che “consente a chiunque di delegare l’accesso a uno o più servizi a un soggetto titolare dell’identità digitale”. L’adozione del modello basato sull’identità del delegato e sugli attributi qualificati che definiscono i poteri di rappresentanza di ogni soggetto delegato non richiede ulteriori sviluppi da parte dei Gestori di Identità, si basa sul modello nativo degli attributi qualificati previsti fin dal 2014 e riconduce il caso del genitore, del tutore, del delegato a una soluzione generale e scalabile che potrebbe comprendere anche i rappresentanti legali, o altre figure delle organizzazioni pubbliche e private.
i minori non sono tutti uguali; in funzione dell’età e del livello di scolarizzazione si può presupporre una maggiore consapevolezza dello strumento digitale, occorre quindi differenziare sia le modalità di rilascio in funzione di questi aspetti sia le modalità di utilizzo da parte del minore. Esemplificando possiamo immaginare che l’identità del minore sia completamente gestita da tutti i soggetti che hanno il compito della responsabilità genitoriale dal momento della nascita fino al momento in cui si può presupporre il minore abbia acquisito gli strumenti di base per l’accesso a determinati servizi disegnati e costruiti per lui o lei, momento che è individuabile al compimento del 14° anno di età, coerentemente alle previsioni dell’autonomia nel prestare il consenso per i servizi della società dell’informazione e momento dal quale viene meno la non imputabilità assoluta del minore, ovvero il minore può recarsi in autonomia e senza che i genitori siano necessariamente informati presso strutture sociosanitarie specifiche.
così come oggi è possibile per un 15enne essere intestatario di una SIM telefonica senza la necessaria autorizzazione da parte del genitore, pare plausibile che alla stessa età minore possa ottenere la propria identità digitale e che la possa utilizzare per accedere ai servizi scolastici o sanitari a lui dedicati senza la preventiva autorizzazione esplicita da parte del genitore, autorizzazione che giustamente potrebbe rimanere necessaria per l’accesso a servizi commerciale di gioco o di social per i quali la norma prevede l’esplicita autorizzazione del genitore.
I servizi non sono tutti uguali: esistono servizi il cui utilizzo da parte del minore non pare poter essere arbitrariamente negato da parte di un genitore (servizi della scuola, parte della salute, del lavoro in caso di minore tirocinante) e servizi che invece appartengono ad una sfera dell’intrattenimento. Per distinguere i contenuti a cui si espone il minore si può trarre ispirazione dal progetto PEGI che prevede una classificazione in base all’età, classificazione che “consiste in un sistema utilizzato per garantire che i contenuti di intrattenimento quali i giochi, ma anche film, programmi televisivi o applicazioni mobili, riportino un’etichetta chiara e una raccomandazione relativa all’età minima sulla base dei contenuti. Le classificazioni in base all’età orientano i consumatori, in particolare i genitori, aiutandoli nella decisione di acquisto di un determinato prodotto destinato a un bambino.”
Inoltre, sarebbe da approfondire e chiarire anche il rapporto fra “SPID per minori” e “CIE”, strumento di idetificazione e autenticazione elettronica rilasciato anche ai minori di 14 anni.
Aspetto importante, propongo il seguente modus operandi:
-descrizione vincoli e requisiti di una buona soluzione.
-individuazione dello scenario/soluzione si riferimento
-attuazione dei correttivi rispetto alle situazioni attuali.
A titolo di esempio per il caso specifico (CIE minore / SPID minore):
Se (ammeso e non concesso) si decide che il minore 14- non possa mai agire in autonomia allora
-soluzione 1: l’idp (MIN INTERNO) in questione può interrompere il processo di autenticazione richiesto dall’SP
-Soluzione 2: l’SP fa autenticare anche il genitore e quindi nella medesima sessione applicativa tiene traccia dell’utilizzo delle due credenziali (e di altri controlli se necessari)
-Soluzione 3… non lo so.
Io ribadisco pero’ che è fondamentale qualche esempio di possibili scenari d’uso di questa autenticazione SPID per minori che fa capolino nel sistema normativo italiano direttamente nella forma di linee guida dichiaratamente non discendenti da norme di rango superiore.
Questo aspetto mi sembra una carenza non da poco, non si puo’ pensare al dettaglio (?) tecnico se non c’e’ una visione di principio a monte. Del tipo: “li regazzini possono andare online”? Si decida se rispondere “sì”, “no” oppure, cosa forse più saggia, si prende atto che la velocità globale e globalizzante con cui si stanno propagando certe abitudini non consente nemmeno di porsi il problema e porta a prendere atto che si e’ connessi e fruitori piu’ o meno consapevoli di servizi online sin dalla nascita.
In quali ambiti si dovrebbe implementare qualche sistema di autenticazione o verifica dell’età? Scuola? Il registro elettronico le cui credenziali, per questioni di sopravvivenza, sono girate indiscriminatamente dal genitore al minore? Le piattaforme di didattica a distamza, vale a dire nella maggioranza dei casi google classroom? Google dovrebbe mettersi a dialogare con gli italici IdP per fare accedere un bambino/ragazzo di primasecondariadiprimogrado alla versione edu della sua suite? Oppure ci riferiamo a servizi resi dalla p…a. direttamente ai minori? E quali, per esempio?
Mi pare che la confusione regni sovrana. Ricordo la splendida uscita della Regione Lombardia inella kafkiana cornice del federalismo dei sistemi informativi sanitari: “FSE di tuo figlio? Usa la sua CIE per accedere!”.
Dove si vuole andare a parare? Quale l’obbiettivo a lungo termine? Vogliamo inibire ai minori la possibilità di accedere a servizi per adulti? Cio’ vuol dire che un servizio per adulti (che sia gioco d’azzardo o attivazione di utenza, che sia fruizione di materiale di solleticamento erotico o conclusione di un contratto di servizio) dovrebbe essere sempre soggetto a verifica/autenticazione tramite SPID? Uporn e bwin, per dirne due a caso, aderiranno?
Nel caso di ambienti protetti, riservati a minori appartenenti a una determinata comunità, esistono già metodi per circoscrivere l’accesso agli autorizzati. Google for education (o come si chiama adesso) è un esempio (amministratore delle utenze e’ la scuola, che fa da garante), i registri elettronici idem. L’antesignano Trool, esperienza toscana di social network per bambini e ragazzi, si basa sulla stessa idea.
“Il codice di verifica viene comunicato al genitore del minore da parte dell’IdP a seguito dell’identificazione e registrazione per l’ottenimento dell’identità SPID”.
Non è ben chiaro il concetto di identificazione a seguito della quale il codice di verifica viene comunicato al genitore del minore dall’IdP. Si intende che il codice di verifica viene rilasciato al genitore dall’IdP perchè il genitore è già stato identificato nel momento in cui ha ottenuto a suo tempo l’identità SPID?