Uso degli attributi secondari

Buongiorno,
Leggo quanto segue su un altro thread

Purtroppo le attuali “Modalità Attuative” (il documento che sta a metà tra il dpcm e le regole tecniche) recitano:


Da notare che è stato esplicitato l’uso da fare del dato in questione (rapporto IDP utente)

e poi ancora:

Quindi:
le stesse modalità attuative:

  • non prevedono e non normano l’uso da parte dei fornitori dei servizi degli attributi secondari
    , oltre al fatto che sarebbe scorretto imporre ad un utente l’utilizzo della casella email o
    -prevedono e normano l’uso da parte dei fornitori di servizi degli attributi qualificati, al solo fine di soddisfare le policy di sicurezza

Inoltre occorre tenere di conto che un utente non possiede una unica email o un unico numero di cellulare e che è diritto dell’utente di scegliere quale mail per quale servizio.

Vero poi che il domicilio digitale è la soluzione a questo aspetto, purtroppo non è anora dispiegato e non è obbligatorio per tutti i cittadini.

Occorre quindi prendere una decisione:

“Se si vuole che i fornitori di servizio utilizzino il dato allora occorre permetterne l’uso, oggi negato.”

Che ne pensate?

Ciao @Luca_Bonuccelli,
il fatto che sia indicato che sono attributi secondari e utilizzati nei rapporti tra IDP e Utente (perchè utilizzati come mezzo di comunicazione e flusso di autenticazione) non discrimina il fatto che non siano utilizzabili dai service provider;

Sempre nelle modalità attuative (http://www.agid.gov.it/sites/default/files/circolari/regolamento_modalita_attuative_spid_2.0.pdf) è riportato, nella sezione dove si dettaglia il processo di registrazione:
image

e, poco sotto si riporta:
image

nel DPCM 24 Ottobre 2014 di SPID, all’art. 1 si riporta:
image

all’Art.9, inoltre, dove si tratta dell’uso illecito dell’identità digitale si riporta:
image

quindi, in nessun caso è riportato il diniego all’utilizzo di tali attributi che, in molti casi, viene già utilizzato ed è stato vitale per contattare gli utenti in un caso, ad esempio, come quello di 18App dove tali attributi email e numero di telefono sono stati utilizzati per fini strettamente riconducibili al funzionamento e gestione del servizio.
Resta fermo il principio della richiesta da parte del service provider di “attributi sufficienti e non eccedenti l’erogazione del servizio”.
E’ quindi lasciata facoltà del service provider su quali attributi utilizzare e come utilizzarli e, oltretutto, la possibilità, ad esempio, di chiedere telefono e email ma poi lasciare all’utente la facoltà di modificare tale informazione.

Umberto Rosini
Agenzia per l’Italia Digitale

@umbros ho fatto leggere la tua risposta a chi ne sa più di me di privacy e di normativa e la risposta è stata opposta alla tua interpretazione.

Un saluto

Ciao @Luca_Bonuccelli,
è sempre utile il confronto, magari oltre a dire che la risposta è stata opposta si possono sapere le ragioni?

Umberto Rosini
Agenzia per l’Italia Digitale

semplicemente:
i dati personali possono essere utilizzati solo per quello che è previsto in normativa e/o autorizzato specificatemene dall’utente.
Negli estratti della tua risposta (appare evidente che che gli attributi secondari possono essere utilizzati esclusivamente per contattare l’utente in caso di sospetto di furto di identità o per gravi malfunzionamenti (generalizzando).

Credo che occorra chiarire con fonte autorevole e riconosciuta da tutti che gli attributi secondari possono essere utilizzati alla stregua di quelli qualificati o identificativi. (però poi occorrerebbe spiegare perchè sono stati distinti).

Un saluto

Caro @Luca_Bonuccelli,
ti riportavo stralci di d.lgs e modalità attuative dove si parla degli attributi secondari. In nessuna delle parti si cita il “diniego” all’utilizzo di tali informazioni di cui tu fai menzione.
In normativa sono previste quelle informazioni e non è in alcun modo specificato che non possono essere utilizzati.
Nel processo di autorizzazione, inoltre, se tali informazioni vengono richieste dall’SP devono essere autorizzate dall’utente alla stregua degli altri attributi.

Non è necessario farne un avviso o un chiarimento. Se hai problemi all’interno del tuo ente, tu o il tuo Dirigente, potete tranquillamente farne opportuna richiesta semplice o anche magari una richiesta di interpretazoine autentica, ad AgID e risponderemo volentieri.

Buona giornata

Umberto Rosini
Agenzia per l’Italia Digitale

:wink: grazie del consiglio, nel caso lo suggerirò.

1 Mi Piace