Il passaggio a SPID sembra un problema ma non lo è.

L’obbligo di passaggio a SPID dal 1° ottobre sta creando qualche apprensione fra i dirigenti che si ritrovano a fare direttamente operazioni che usualmente venivano demandate agli impiegati della segreteria cedendo ad essi le credenziali. Analizziamo il problema per trovare una soluzione semplice.

Il riferimento normativo generale è l’art. 32 del Regolamento UE 679/2016 GDPR mentre l’allegato B del Codice della privacy di cui al Decreto Legislativo 30 giugno 2003, n. 196, cui finora si è fatto sempre riferimento, è stato abrogato dal Decreto legislativo 10 agosto 2018, n. 101. Ciò ovviamente non vuole dire che sia caduto l’obbligo di segretezza delle credenziali, semmai quest’obbligo si è evoluto per adattarsi al progresso tecnologico ad una mutata coscienza civile sulla sicurezza dei dati.

Il GDPR, e i tanti provvedimenti ad esso collegati, impongono a chi tratta i dati, nel nostro caso le pubbliche amministrazioni, a mettere "in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (cit. GDPR) ed anche “assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. Dunque, le password servono e sono personali altrimenti non c’è riservatezza nel trattamento dei dati.

Tutti coloro che forniscono servizi, devono garantire il rispetto di questi obblighi e lo fanno implementando sistemi di identificazione e autenticazione degli utenti. L’obbligo di conservazione sicura delle credenziali è quindi in capo ai fornitori di identità digitale ma anche agli utenti, cioè a noi. Tale obbligo trova riflesso nelle condizioni di erogazione del servizio che fanno parte dei contratti che sottoscriviamo con i fornitori per avere il servizio. Sono quei dei documenti scritti in carattere microscopico che nessuno legge mai dove c’è scritto in termini legali l’obbligo del titolare di conservare le credenziali e di usarle in modo strettamente personale.

Cedere le password è in generale un atto illecito. Un dirigente non dovrebbe mai cedere le proprie credenziali agli impiegati e un impiegato non dovrebbe mai accettare di riceverle. Tutte le pubbliche amministrazioni implementano da tempo sistemi di delega conformi alla legge che permettono ai nostri impiegati di operare in piena legalità. Lo fa l’INAIL per il DURC on line, lo fa l’INPS e lo fa MEF e chi non lo fa ancora lo farà a breve per cui è bene adeguarsi rapidamente.

A volte si tratta di procedere a nomina dell’impiegato, di solito con modulistica predisposta dall’ente, come nel caso dell’INAIL. Altre volte può essere necessario emanare vera e propria delega formale. In ogni caso, formalizzare sempre e usare la forma scritta con atti firmati che restino in archivio.

Pin It