Il problema è capire se lo SPID professionale è solo una attribuzione (in più rispetto alla sua identità digitale) del soggetto oppure no. Resta il fatto che ne capisco poco l’utilità pratica (non farebbe niente di più di un’abilitazione che segua le vie ordinarie: convenzione, creazione delle utenze, individuazioni dei profili autorizzativi).
Leggendo le specifiche e gli articoli mi sembra una cosa senza senso, in pratica è uno SPID dedicato all’attività dell’amministrazione con meno autorità perchè non la ha sulle cose private (per le quali usi o quello professionale o quello privato) e tutto ciò perchè già sanno che quello che usi in ufficio verrà condiviso con i colleghi così che loro non possano poi farsi i fatti tuoi su tutte le tue cose personali.
Insomma dato che sanno che non verranno rispettate le regole base fanno in modo che tu possa non rispettarle senza preoccuparti di qualche conseguenza negativa!!
1 Mi Piace
Quindi, per esempio, un’azienda che si occupa dei sistemi informativi di una regione e che offre servizi al pubblico non sottosta all’obbligo di SPID? Se sottosta, cosa succede se non adempie all’obbligo?
Oltretutto, vorrei capire un paio di cose:
- un gestore di servizi pubblici può rifiutarsi di integrare l’autenticazione con SPID e CIE per usufruire di servizi regionali erogati tramite app su smartphone?
- una domanda meno inerente e forse più tecnica: è lecito che un processo di autenticazione con SPID/CIE avvenga su un sito senza certificato?
Il DPCM a cui mi riferivo non risulta che sia ancora stato adottato (ergo: no decreto, no obbligo; no obbligo, no conseguenze). La responsabilità dirigenziale e disciplinare, in ottica sanzionatoria, è limitata al personale P.A. con poteri decisionali. L’autenticazione SPID e CIE presuppone un iter amministrativo di adesione e un’implementazione informatica sul sito da cui vengono offerti all’utenza servizi online che segue gli step previsti secondo la normativa vigente e le istruzioni AGID.
Certo che può. Ma a quel punto dovrebbero assegnare il contratto a una ditta diversa, perchè quel servizio (pubblico per definizione) non sarebbe a norma e il dirigente che lo appaltasse sapendo che non è a norma dovrebbe risponderne davanti ai superiori e alla Corte dei Conti.
Come è già stato spiegato, basta fare l’autenticazione SPID-CIE sul sito pubblico poi entrare già autenticati nel sito privato.
Ma, soprattutto, potresti spiegare meglio questo scenario? Anche descrivendo il caso concreto, magari.
Parzialmente OT, a proposito di servizi di prenotazione forniti da enti privati…
https://www.agendadigitale.eu/sicurezza/privacy/multa-a-roma-capitale-per-il-servizio-tupassi-la-lezione-che-la-pa-non-vuole-imparare/
2 Mi Piace
È una società costituita dalla regione (di cui è socio unico) per la gestione dei servizi sanitari interni e al pubblico.
Bè allora non si pone proprio il problema. Il soggetto è privato solo formalmente, ma è un organismo di diritto pubblico se non una in house e gli si applica la normativa (e direi pure i costi) del pubblico. La forma privata è irrilevante, a mio avviso.
1 Mi Piace
Qui si ripone la mia domanda: a chi segnalo la loro dichiarata intenzione di non voler recepire le norme del CAD?
Avevo loro segnalato di rendere i servizi erogati tramite app accessibili con le modalità indicate ma mi hanno risposto che per il momento, “data l’urgenza”, non hanno intenzione di farlo.
1 Mi Piace
Io lo segnalerei al responsabile per la transizione della Regione, ente controllante. Magari mettendo in conoscenza AGID
3 Mi Piace
E pure al garante privacy, il dato sanitario va protetto a prescindere da sofismi di forma giuridica e un’autenticazione forte con identificazione certa per accedervi è il minimo sindacale
1 Mi Piace
La figura preposta è il Difensore Civico Digitale: Difensore civico per il digitale|Agenzia per l'Italia digitale
2 Mi Piace
Nella mia regione è stato istituito il difensore civico, non so se le due cariche si eguagliano.
Controllerò.
Edit: No, ho letto meglio e pare che il difensore civico digitale sia unico a livello nazionale.
In ogni caso, scriverò anche al difensore civico regionale che, guarda caso, è garante del diritto alla salute.
1 Mi Piace
IO credo che uno SPID professionale cioè nominativo e valido solo se collegato ad un’azienda dovrebbe contenere al suo interno, la carica che uno ricopre in quell’azienda o le eventuali deleghe, un po’ come accade per la firma digitale. Cioè tu firmi (perchè siamo d’accordo che lo SPID è una firma no ?) a che titolo ? sei incaricata di farlo ? sei amministratore delegato, spazzino, bidello ? cosa sei per quell’azienda ?
Quindi i casi sono due: o viene rilasciato con già all’interno questa informazione, oppure è l’amministrazione titolare del servizio che permette una profilazione al suo interno e allora sono d’accordo che tanto vale usare lo spid personale.
Del resto quando uno firma non ha due firme diverse se firma un proprio assegno o un atto per l’ente no ?
1 Mi Piace
Signore e signori, ecco a voi la voce del buon senso.
1 Mi Piace
uhm… mio papà, fu dirigente INAIL, ha sempre usato due firme diverse per le cose d’ufficio e per quelle personali. Qui mi sembra proprio la stessa cosa, è la tua firma, ma solo per le cose dell’ufficio ed in particolare per quelle che l’amministratore ti ha abilitato a firmare (ovvero per essere più precisi per quegli accessi che ti sono stati consentiti, perchè è si una firma, ma anche una credenziale di accesso ad un servizio- anagrafe, multe).
Comunque sia, oggi INAIL ha disabilitato tutte le funzioni della Gestione enti in conto Stato per chi accede con le vecchie user-psw. Comincia la rumba.
1 Mi Piace
Quando io feci il corso RAO ad infocamere, un bel po’ di anni fa, mi dissero che se nel rilascio della firma non vengono posti limiti , quindi non viene indicato il ruolo, la firma è valida per qualsiasi tipo di sottoscrizione. E così è stato. Io uso la mia firma per firmare le determine e gli atti nel mio ente, per rilasciare come RAO le altre firma, ma anche a livello personale, quando ad esempio qualche anno fa chiesi lo spid a telecom. Io rimango della mia idea che più che altro è un principio generale. La mia firma è la mia firma, io sono io in qualsiasi contesto. Sarà una eventuale configurazione dell’applicativo a dirmi a che titolo e che cosa posso o non posso firmare.
1 Mi Piace
Esatto. Mi stupisce che nel 2021 ci sia ancora qualcuno che parla di “firmare come privato” o “come funzionario/imprenditore”.